WO2020021714A1 - Fraud prevention method and secure star coupler - Google Patents

Fraud prevention method and secure star coupler Download PDF

Info

Publication number
WO2020021714A1
WO2020021714A1 PCT/JP2018/028294 JP2018028294W WO2020021714A1 WO 2020021714 A1 WO2020021714 A1 WO 2020021714A1 JP 2018028294 W JP2018028294 W JP 2018028294W WO 2020021714 A1 WO2020021714 A1 WO 2020021714A1
Authority
WO
WIPO (PCT)
Prior art keywords
unit
frame
branch
star coupler
routing
Prior art date
Application number
PCT/JP2018/028294
Other languages
French (fr)
Japanese (ja)
Inventor
剛 岸川
良浩 氏家
平野 亮
Original Assignee
パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ filed Critical パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
Priority to PCT/JP2018/028294 priority Critical patent/WO2020021714A1/en
Priority to CN201980006599.0A priority patent/CN111788800B/en
Priority to EP19841931.9A priority patent/EP3832956B1/en
Priority to JP2020532476A priority patent/JP7337063B2/en
Priority to PCT/JP2019/029252 priority patent/WO2020022445A1/en
Publication of WO2020021714A1 publication Critical patent/WO2020021714A1/en
Priority to US17/089,277 priority patent/US11764998B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/417Bus networks with decentralised control with deterministic access, e.g. token passing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40234Local Interconnect Network LIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40241Flexray
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • H04L2012/445Star or tree networks with switching in a hub, e.g. ETHERNET switch

Definitions

  • ECUs electronice control units
  • a network connecting these ECUs is called an in-vehicle network.
  • FlexRay which is designed as a protocol that is faster and more reliable than the currently mainstream Controller @ Area @ Network (hereinafter, CAN).
  • FlexRay represents a value of “0” and a value of “1” by a voltage difference between two stranded wires.
  • the ECU connected to the bus is called a node.
  • Each node connected to the bus sends and receives messages called frames.
  • FlexRay is a Time ⁇ Division ⁇ Multiple ⁇ Access (TDMA) system, and each node transmits a frame at a predetermined timing.
  • TDMA Time ⁇ Division ⁇ Multiple ⁇ Access
  • a routing unit, and a routing rule holding unit wherein the transceiver unit is connected to one of the branches, converts a physical signal of a bus of the connected branch into a digital signal, and From the receiving unit that notifies And a transmitting unit for converting the received digital signal into a physical signal and transmitting the converted signal to the bus, wherein the routing unit is connected to the first branch unless the non-transfer condition is met.
  • a time-triggered communication method is adopted, and even for an in-vehicle network designed in a star topology, by grasping a transmission position of an invalid frame, it is This makes it possible to cope with the situation, and to maintain a safe state as the whole in-vehicle network system.
  • FIG. 8 is a diagram illustrating an example of the received frame information stored in the received frame holding unit 304 according to the first and second embodiments.
  • FIG. 9 is a diagram illustrating an example of a routing table stored in the routing table holding unit 305 according to the first and second embodiments.
  • FIG. 10 is a diagram illustrating an example of frame information stored in the frame information holding unit 314 according to the first and second embodiments.
  • FIG. 11 is a diagram illustrating an example of a frame rule stored in the frame rule holding unit 315 according to the first and second embodiments.
  • FIG. 12 is a diagram illustrating an example of a branch abnormality degree stored in the branch abnormality degree holding unit 316 according to the first and second embodiments.
  • the digital signal is transferred to a plurality of transmission / reception steps other than the first transmission / reception step, and the non-transfer condition does not match the predetermined condition described in the routing rule holding step, and the first branch already exists.
  • a digital signal is received from a second transmission / reception step other than the first transmission / reception step that handles the physical signal, and the digital signal is transferred to a transmission / reception step other than the second transmission / reception step.
  • the step includes a rule indicating the correspondence between the time slot and the identifier of the branch or transmission / reception step to be received.
  • a fraud prevention method of equity As a result, even if an illegal frame is transmitted on a branch that does not match the routing rule, the transfer of the illegal frame is prevented by the secure star coupler, and the security of the vehicle-mounted network is improved.
  • the network idle time is a time period during which communication is not performed, and is always provided at the end of a cycle.
  • Each ECU performs a time synchronization process and the like.
  • ⁇ Header ⁇ Segment starts with Reserved @ bit, and includes Payload @ preamble @ indicator, Null @ frame @ indicator, Sync @ frame @ indicator, and Startup @ frame @ indicator each for indicating a frame type. Further, it is composed of an 11-bit Frame @ ID, a 7-bit Payload @ length, an 11-bit Header @ CRC, and a 6-bit Cycle @ count.
  • the Frame @ ID is also called a slot ID, and is used to identify the transmission timing of a frame and the contents of the frame.
  • Payload @ length can take a maximum value of 127. Payload @ Segment stores the number of bytes obtained by multiplying the value of Payload @ length by two. Header @ CRC is a checksum calculated from a value including Sync @ frame @ indicator to Payload @ length. Cycle @ count stores the current number of cycles.
  • the communication setting parameter holding unit 205 holds common parameters in a cluster for correctly converting a physical signal into a digital signal.
  • FIG. 7 shows an example of communication setting parameters stored in the communication setting parameter storage unit 205, which will be described in detail later.
  • the routing unit 302 transfers the digital signal notified from the transceiver unit 301a to the transceiver units 301b, 301c, and 301d excluding the transceiver unit 301a. Similarly, when the digital signal is notified from the transceiver unit 301b, the digital signal is notified to the transceiver units except the transceiver unit 301b.
  • the ECU interface unit 303 is also notified of the signal being received and the input branch information indicating from which branch the signal is being received. Further, the correspondence between the slot number and the receiving branch (transceiver unit) can be set from the ECU interface unit based on the routing table. At the timing of the slot number, the signal of the set receiving branch is transferred to another branch. Signals from the receiving branch that are not set are ignored and are not transferred to other branches. At the timing when the correspondence between the slot number and the reception branch is not set, the signal from the branch that received the signal first is transferred to another branch.
  • the ECU interface unit 303 interprets the received signal, converts the signal into a received frame, and sends the received frame information to the received frame holding unit 304. Save with.
  • the information of the received frame and the input branch information stored in the received frame holding unit 304 are notified. Further, it interprets and executes instructions such as rewriting the table of the branch to be received in each slot stored in the routing table holding unit 305 and reflecting it on the routing unit 302.
  • FIG. 6 is a configuration diagram of the fraud detection ECU 310.
  • the fraud detection ECU 310 includes a star coupler communication control unit 311, a fraud detection unit 312, a frame generation unit 313, a communication setting parameter storage unit 205, a frame information storage unit 314, a frame rule storage unit 315, a branch abnormality degree storage unit 316, and a reception unit. And a history holding unit 317.
  • the functions having the same functions as those of the ECU 200a are given the same numbers, and the description is omitted.
  • the fraud detecting unit 312 is notified of information about the received frame from the star coupler communication control unit 311 and determines whether the received frame is a normal frame. The determination as to whether the frame is a normal frame is made by referring to the ID and the reception branch table stored in the frame information holding unit 314, and confirming whether the correspondence between the ID of the received frame and the reception branch is correct. If the correspondence between the frame and the reception branch is correct, an invalid frame is transmitted by referring to the rule for each ID stored in the frame rule storage 315 and the reception history stored in the reception history storage 317.
  • a notification is sent to the frame generation unit 313 to notify other ECUs that the invalid frame is being transmitted, and the transmission of the invalid frame is performed.
  • the value of the degree of abnormality of each branch stored in the branch abnormality degree holding unit 316 is increased.
  • the fraud detecting unit 312 is stored in the routing table holding unit 305 of the secure star coupler 300 in order to prevent a fraudulent frame from being transferred from a branch that is a source of a fraudulent frame to another branch. , The slot and the input branch, and a notification of the control to the routing unit 302.
  • the frame information holding unit 314 stores a list of IDs of frames transmitted by each ECU and a branch of a transmission source.
  • FIG. 10 shows an example of the frame information held by the frame information holding unit 314, which will be described later in detail.
  • the frame rule holding unit 315 stores a rule for the fraud detecting unit 312 to determine whether the frame is fraudulent when the frame is received.
  • FIG. 11 shows an example of a frame rule stored in the frame rule holding unit 315, which will be described in detail later.
  • the branch abnormality degree holding unit 316 stores the degree of abnormality for each branch based on the number of illegal frames received.
  • FIG. 12 shows an example of the branch abnormality degree stored in the branch abnormality degree holding unit 316, which will be described in detail later.
  • FIG. 7 shows an example of communication setting parameters stored in the communication setting parameter holding unit 205.
  • the communication setting parameters indicate that the baud rate indicating the communication speed is 10 Mbps, the slot ID of the static segment is 1 to 50, and the slot ID of the dynamic segment is 51 to 100. I have. It also shows that the payload length of the static slot is 8 (that is, 16 bytes). These values are shared by all the ECUs in the cluster, and the transmission and reception of the FlexRay frame is realized based on these values.
  • the value of the communication setting parameter is merely an example, and another value may be used.
  • the parameters shown here are merely examples, and may include parameters not described in FIG. 7 (for example, the length of each segment, the length of a slot, and the like), or may be described in reverse. Some of the parameters may not be included.
  • FIG. 8 shows an example of a received frame list stored in the received frame holding unit 304 of the secure star coupler 300.
  • the information of the received frame includes, for each frame, a branch that received the frame, a reception slot ID, a cycle, a payload length, payload information included in the frame, a flag state of the Preamble indicator, and an error flag indicating whether the frame was correctly received. Have been.
  • FIG. 9 shows an example of a routing table stored in the routing table holding unit 305 of the secure star coupler 300.
  • a table that defines a specific timing (determined by a combination of a slot ID, a cycle offset, and a cycle reception) and a branch that receives a signal at the timing is held.
  • the input branch is 100c, and the routing unit 302 controls the signal received from the bus 100c to transfer it to another branch. I do.
  • the routing unit 302 ignores the signal.
  • the input branch at a timing when the slot ID is 3, the cycle @ offset is 0, and the cycle @ reception is 2 is 100a, and the input branch at a timing when the slot ID is 98, the cycle @ offset is 1 and the cycle @ reception is 2 is 100b. It indicates that there is.
  • FIG. 10 shows an example of frame information stored in the frame information holding unit 314 of the fraud detection ECU 310.
  • a frame whose slot ID is 98, whose Cycle @ offset is 1, and whose Cycle @ reception is 2 (that is, transmitted only when the cycle counter is an odd number) has a frame name C, and information about the gear state is included in the payload of the frame C. This indicates that the transmission source ECU is 200b and the branch is 100b.
  • a frame with a slot ID of 99, a cycle @ offset of 0, and a cycle @ reception of 4 has a frame name of D, the payload of frame D contains information on camera information 1, the source ECU is 200d, and the branch is 100d.
  • a frame having a slot ID of 99, a cycle @ offset of 1, and a cycle @ reception of 4 has a frame name of E
  • the payload of the frame E includes information on camera information 2
  • the transmission source ECU is 200d
  • the branch is 100d.
  • a cycle of reception of 4 has a frame name of F
  • the payload of frame F includes information on camera information 3
  • the transmission source ECU is 200d
  • the branch is 100d.
  • a frame having a slot ID of 99, a cycle of $ offset of 3, and a cycle of $ reception of 4 has a frame name of G
  • the payload of frame G includes information on camera information 4
  • the transmission source ECU is 200d
  • the branch is 100d.
  • Frames A and B are static frames transmitted in the static segment
  • frames C to G are dynamic frames transmitted in the dynamic segment.
  • FIG. 11 is a diagram illustrating an example of the frame rule stored in the frame rule holding unit 315 of the fraud detection ECU 310. In the figure, a reception rule is set for each frame name.
  • FIG. 13 is an example of the reception history stored in the reception history holding unit 317 of the fraud detection ECU 310.
  • the figure shows an example in which the last received value and the vehicle state of each frame are held.
  • the previous reception value and the reception time (us) are held for each frame.
  • the previous reception value of the speed included in frame A is 40.5 km / h, indicating that the previous reception time was 12100 us.
  • the previous reception value of the handle angle included in frame B is 5 degrees, indicating that the previous reception time was 8100.
  • the gear state included in the frame C is the drive state, and indicates that the previous reception time was 12400 us.
  • the previous reception value of the camera information 1 included in the frame D indicates detection of the preceding vehicle, and indicates that the previous reception time was 1440 us.
  • the previous reception value of the camera information 2 included in the frame E indicates pedestrian detection, and indicates that the reception time was 5480 us.
  • the previous reception value of the camera information 3 included in the frame F indicates the lane detection state, and indicates that the reception time was 9520 us.
  • the previous reception value of the camera information 4 included in the frame G indicates that the rear camera has not been started, and indicates that the reception time is 13560 us.
  • the fraud detection unit 312 updates the vehicle state stored in the reception history holding unit 317 as the traveling state.
  • FIG. 14 is a flowchart showing the operation of the secure star coupler 300.
  • the secure star coupler 300 determines from which branch the signal has been received (S1001). When receiving the signal, the secure star coupler 300 determines whether a routing table corresponding to the current reception timing exists. (S1002). If there is a routing table corresponding to the current reception timing, the secure star coupler 300 checks whether the correspondence between the reception timing and the branch that has received the signal is appropriate (S1003). If there is no routing table corresponding to the current reception timing, the secure star coupler 300 checks whether a signal is being received from another branch (S1006).
  • Signals from the receiving branch that are not set are ignored and are not transferred to other branches.
  • the signal from the branch that received the signal first is transferred to another branch.
  • the signal being transferred is decoded, and it is determined whether or not the signal matches the blacklist held in the blacklist holding unit 1306. If the signal being transferred matches the blacklist, and the branch abnormality degree stored in the branch abnormality degree holding unit and the running state stored in the running state holding unit are referred to, the validity condition of the blacklist is satisfied. In such a case, the transfer of the signal being transferred to another branch is stopped.
  • FIG. 17 is a configuration diagram of the fraud detection ECU 1310.
  • the fraud detection ECU 1310 includes a star coupler communication control unit 1311, a fraud detection unit 1312, a frame generation unit 313, a communication setting parameter storage unit 205, a frame information storage unit 314, a frame rule storage unit 315, a reception history And a holding unit 317.
  • the fraud detecting unit 1312 is notified of information about the received frame from the star coupler communication control unit 1311 and determines whether the received frame is a normal frame. The determination as to whether the frame is a normal frame is made by referring to the ID and the reception branch table stored in the frame information holding unit 314, and confirming whether the correspondence between the ID of the received frame and the reception branch is correct. If the correspondence between the frame and the reception branch is correct, an invalid frame is transmitted by referring to the rule for each ID stored in the frame rule storage 315 and the reception history stored in the reception history storage 317.
  • FIG. 20 is a processing flowchart of the secure star coupler 1300 when receiving a frame.
  • the secure star coupler 1300 starts receiving a frame (S2001).
  • the secure star coupler 1300 checks whether a routing table corresponding to the current slot exists (S2002). If a corresponding routing table exists, the secure star coupler 1300 executes S2003. Otherwise, the secure star coupler 1300 executes S2011.
  • the secure star coupler 1300 decodes the signal being transferred during routing (after S2004), and checks whether the signal matches the blacklist held by itself (S2005). If it matches the blacklist, the secure star coupler 1300 stops the routing (S2009) and ends the processing. If they do not match the blacklist, the secure star coupler 1300 transfers all signals (S2006).
  • the fraud detection ECU 1310 refers to the frame rule stored in the frame rule holding unit 315, and checks whether the received frame conforms to the frame rule. If the frame rule is satisfied, the fraud detection ECU 1310 determines that the legitimate frame has been received, updates the reception history stored in the reception history holding unit 317 (S2104), and notifies the secure star coupler 1300 of the running state update notification. (S2105), and the process ends. If the frame rule is not satisfied, it is determined that an invalid frame has been received, and the fraud detection ECU 1310 notifies the secure star coupler 1300 to increase the degree of abnormality of the receiving branch (S2106), and ends the processing.
  • a star network topology is shown, but the network topology is not limited.
  • a network topology such as a bus-type hybrid or a star-type hybrid can be adopted.
  • the process is terminated after detecting an invalid frame.
  • the response when an invalid frame is detected is not limited to this.
  • the branch information, the header information, the payload value, the reception time, etc., which transmitted the invalid frame may be stored as a log, or the other ECU may be notified of the invalid frame.
  • an external server may be notified that the vehicle has been fraudulent, or the driver may be notified that the vehicle's in-vehicle network has been fraudulent.
  • the number of reception rules stored in the frame rule holding unit is one for each frame, but there may be one or more reception rules.
  • a reception rule may not exist. This makes it possible to check according to the importance of the frame, which is effective in improving the security of the vehicle-mounted network.
  • the frame name is held in the frame information stored in the frame information holding unit.
  • the frame name may not be held.
  • the vehicle history included in the reception history is only the two states of running or stopped, but the vehicle state is not limited to these two states.
  • an ignition-on state, an accessory-on state, a low-speed running state, a high-speed running state, a steering wheel steering state, a gear state, or a state in which these are combined can be taken.
  • the transfer of the signal matching the blacklist is stopped, but processing other than stopping the transfer of the signal may be performed.
  • the CRC value included in the frame may be rewritten. Any measures can be taken as long as the signals being transferred are not recognized and processed by other ECUs as valid frames.
  • the FlexRay protocol was used as the in-vehicle network, but the present invention is not limited to this.
  • CAN CAN-FD (CAN with Flexible Data Rate), Ethernet, LIN (Local Interconnect Network), MOST (Media Oriented Systems Transport), or the like may be used.
  • LIN Local Interconnect Network
  • MOST Media Oriented Systems Transport
  • a network in which these networks are combined as a sub-network may be used. This is particularly effective for a network employing a time trigger method.
  • the present disclosure may be the methods described above. Further, these methods may be a computer program that is realized by a computer, or may be a digital signal composed of a computer program.
  • the present disclosure may be a computer system including a microprocessor and a memory, wherein the memory records the computer program, and the microprocessor may operate according to the computer program.
  • the program or digital signal may be recorded on a recording medium and transferred, or the program or digital signal may be transferred via a network or the like, so as to be implemented by another independent computer system.
  • the present disclosure provides a secure in-vehicle network system by observing a frame flowing in the in-vehicle network, grasping a transmission position of an illegal frame, and taking measures. As a result, a secure state can be maintained for the entire in-vehicle network system.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

In an on-vehicle network of the present invention, a plurality of branches configured by one or more electronic control devices and one on-vehicle network bus are connected via a secure star coupler (300). The electronic control devices each transmit and receive a frame within a prescribed time slot. The secure star coupler (300) is provided with: transceiver units (301a-301d) the number of which is equal to the number of the branches; a routing unit (302); and a holding unit (305). Each of the transceiver units (301a-301d) is connected to any one of the branches, and is provided with: a reception unit that converts a physical signal of the bus of the branch to a digital signal, and notifies the routing unit (302) of the digital signal; and a transmission unit that converts the digital signal to a physical signal, and transmits the physical signal to the bus. Unless a non-transfer condition is satisfied, the routing unit (302) transfers a digital signal from a first transceiver unit connected to a first branch, to a transceiver unit other than the first transceiver unit.

Description

不正防止方法およびセキュアスターカプラFraud prevention method and secure star coupler
 本開示は、スター型トポロジの車載ネットワークにおける不正フレームの送信を防止するセキュアスターカプラに関する。 The present disclosure relates to a secure star coupler that prevents transmission of an illegal frame in a star topology vehicle-mounted network.
 近年、自動車の中のシステムには、電子制御ユニット(以下、ECU)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークを車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも、現在、主流となっているController Area Network(以下CAN)よりも高速、高信頼プロトコルとして設計されたFlexRayという規格が存在する。 In recent years, a number of devices called electronic control units (hereinafter referred to as ECUs) are arranged in systems in automobiles. A network connecting these ECUs is called an in-vehicle network. There are many standards for in-vehicle networks. Among them, there is a standard called FlexRay, which is designed as a protocol that is faster and more reliable than the currently mainstream Controller @ Area @ Network (hereinafter, CAN).
 FlexRayでは2本のより線の電圧差により“0”の値と“1”の値を表す。バスに接続されているECUはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。FlexRayはTime Division Multiple Access(以下TDMA)方式であり、各ノードは予め決められたタイミングでフレームを送信する。 FlexRay represents a value of “0” and a value of “1” by a voltage difference between two stranded wires. The ECU connected to the bus is called a node. Each node connected to the bus sends and receives messages called frames. FlexRay is a Time \ Division \ Multiple \ Access (TDMA) system, and each node transmits a frame at a predetermined timing.
 FlexRayでは、最大の時間単位であるサイクルが存在し、各ノードはグローバルタイムを同期している。サイクルは「静的セグメント」「動的セグメント」「シンボルウィンドウ」「ネットワークアイドルタイム」の4つのセグメントから構成され、動的セグメントとシンボルウィンドウはオプションである。各ノードは静的セグメントと動的セグメントにおいてフレームを送信する。静的セグメントと動的セグメントは、さらにスロットと呼ばれる1つのフレームを送信することができる時間から構成される。 In @FlexRay, there is a cycle that is the maximum time unit, and each node synchronizes the global time. A cycle is composed of four segments: a "static segment", a "dynamic segment", a "symbol window", and a "network idle time". The dynamic segment and the symbol window are optional. Each node sends frames in static and dynamic segments. The static segment and the dynamic segment are further composed of time during which one frame called a slot can be transmitted.
 FlexRayでは送信先や送信元を示す識別子は存在せず、送信ノードはフレーム毎に予め定められた送信タイミングであるスロット番号に基づいてフレームを送信する。各受信ノードは予め決められたスロット番号のフレームのみを受信する。また、同一のスロット番号のフレームであっても、サイクルによって異なるフレームの通信を実現する「サイクルマルチプレキシング」と呼ばれる方法が用いられる。 In FlexRay, there is no identifier indicating the transmission destination or the transmission source, and the transmission node transmits a frame based on a slot number that is a transmission timing predetermined for each frame. Each receiving node receives only a frame with a predetermined slot number. In addition, a method called “cycle multiplexing” that realizes communication of different frames depending on the cycle even if the frames have the same slot number is used.
 また、FlexRayでは、CANのように全てのノードが1つのバスに接続されるバス型ネットワークトポロジだけでなく、スターカプラを介したスター型のネットワークトポロジや、バス型とスター型のハイブリッド型のネットワークトポロジを設計することが可能である。 In addition, in FlexRay, not only a bus-type network topology in which all nodes are connected to a single bus like a CAN, but also a star-type network topology via a star coupler or a hybrid type of bus-type and star-type networks It is possible to design a topology.
 一方、セキュリティに関しては、CANでは、攻撃者がCANのバスにアクセスし、不正フレームを送信することで、ECUを不正制御するといった脅威が存在し、セキュリティ対策が検討されている。 On the other hand, regarding security, there is a threat that an attacker accesses the CAN bus and transmits an illegal frame to illegally control the ECU, and security measures are being studied.
 例えば特許文献1では、車載ネットワーク監視装置を提案しており、フレームがあらかじめ規定された通信間隔でCANに送信されているかを検出し、規定された通信間隔から外れるフレームを不正と判断することで、不正フレームによる制御を防止する方法が開示されている。 For example, Patent Literature 1 proposes an in-vehicle network monitoring device that detects whether a frame is transmitted to a CAN at a predetermined communication interval, and determines that a frame deviating from the specified communication interval is invalid. Discloses a method for preventing control by an illegal frame.
特許第5664799号公報Japanese Patent No. 5664799 特許第4871395号公報Japanese Patent No. 4871395
 しかしながら、タイムトリガー型の通信方式を採用しているFlexRayでは、予め規定された通信間隔で通信を行うため、ある特定の識別子をもつフレームの受信間隔は常に一定となり、特許文献1のような不正検知手法を適用することはできない。また、FlexRayでは、設計容易性の観点からスター型のネットワークトポロジが利用されることが多い。これに対し、特許文献2では、タイムスケジュールに応じて転送元のブランチをスイッチするインテリジェントスターカプラが開示されている。インテリジェントスターカプラにより、本来フレームの送信が予定されていないブランチからの攻撃フレームの注入を防ぐことが可能になるが、攻撃が試行されたことを把握することはできない。さらに特許文献2のインテリジェントスターカプラでは、送信が予定されているブランチに不正なノードが存在する場合には、不正なフレームの注入を防ぐことはできない。 However, in FlexRay employing a time-triggered communication method, communication is performed at a predetermined communication interval, so that a reception interval of a frame having a specific identifier is always constant. No detection method can be applied. In FlexRay, a star network topology is often used from the viewpoint of design easiness. On the other hand, Patent Literature 2 discloses an intelligent star coupler that switches a transfer source branch according to a time schedule. The intelligent star coupler makes it possible to prevent the injection of an attack frame from a branch that is not originally supposed to transmit a frame, but it is impossible to know that an attack has been attempted. Further, with the intelligent star coupler disclosed in Patent Document 2, if an illegal node exists in a branch scheduled to be transmitted, injection of an illegal frame cannot be prevented.
 本開示は、上記課題を解決するため、タイムトリガー型の通信方式であるプロトコルを採用した車載ネットワークにおいて、スター型トポロジによりネットワークが設計されたときに、不正なフレームの送信箇所を把握し、対処することで安全な車載ネットワークシステムを提供することを目的とする。 The present disclosure solves the above-described problems, in a vehicle-mounted network adopting a protocol that is a time-triggered communication method, when a network is designed according to a star topology, an illegal frame transmission location is grasped and addressed. To provide a secure in-vehicle network system.
 本開示の一態様に係る不正検知防止装置は、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおけるセキュアスターカプラであって、前記車載ネットワークには、1以上の電子制御装置と1つの車載ネットワークバスから構成される複数のブランチが、セキュアスターカプラを通じて接続され、前記電子制御装置は所定のタイムスロット内でフレームを送受信し、前記セキュアスターカプラは、ブランチ数に対応する複数のトランシーバ部と、ルーティング部と、ルーティングルール保持部とから構成され、前記トランシーバ部は、いずれかのブランチに接続されており、接続されているブランチのバスの物理信号をデジタル信号へ変換し、前記ルーティング部へ通知する受信部と、前記ルーティング部から受信したデジタル信号を物理信号へ変換し、前記バスへ送信する、送信部と、を備え、前記ルーティング部は、非転送条件に合致する場合を除き、第1のブランチに接続される第1のトランシーバ部から受信したデジタル信号を、前記第1のトランシーバ部以外の複数のトランシーバ部へ転送し、前記非転送条件は、前記ルーティングルール保持部に記載されている所定の条件に合致しない場合と、既に第1のブランチ接続される第1のトランシーバ部以外の第2のトランシーバ部からデジタル信号を受信し、前記第2のトランシーバ部以外のトランシーバ部へデジタル信号を転送している場合であり、前記ルーティングルール保持部は、タイムスロットと受信すべきブランチまたはトランシーバ部の識別子の対応を示したルールを保持するセキュアスターカプラである。 An injustice detection prevention device according to an aspect of the present disclosure is a secure star coupler in an in-vehicle network that is a time-triggered communication method based on a time slot, wherein the in-vehicle network includes one or more electronic control devices and one A plurality of branches including an in-vehicle network bus are connected through a secure star coupler, the electronic control unit transmits and receives frames within a predetermined time slot, and the secure star coupler includes a plurality of transceiver units corresponding to the number of branches. , A routing unit, and a routing rule holding unit, wherein the transceiver unit is connected to one of the branches, converts a physical signal of a bus of the connected branch into a digital signal, and From the receiving unit that notifies And a transmitting unit for converting the received digital signal into a physical signal and transmitting the converted signal to the bus, wherein the routing unit is connected to the first branch unless the non-transfer condition is met. The digital signal received from the transceiver unit is transferred to a plurality of transceiver units other than the first transceiver unit, and the non-transfer condition does not match a predetermined condition described in the routing rule holding unit; Receiving a digital signal from a second transceiver unit other than the first transceiver unit already connected to the first branch, and transferring the digital signal to a transceiver unit other than the second transceiver unit; The routing rule holding unit holds a rule indicating a correspondence between a time slot and an identifier of a branch or transceiver unit to be received. It is a cure star coupler.
 なお、これらの全般的または具体的な態様は、装置、システム、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、装置、システム、方法、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。 Note that these general or specific aspects may be realized by a recording medium such as an apparatus, a system, an integrated circuit, a computer program, or a computer-readable CD-ROM. It may be realized by an arbitrary combination of recording media.
 本開示によれば、タイムトリガー型の通信方式を採用しており、スター型トポロジで設計されている車載ネットワークに対しても、不正なフレームの送信箇所を把握することで、不正なフレームへの対処が可能となり車載ネットワークシステム全体として、安全な状態を維持することができる。 According to the present disclosure, a time-triggered communication method is adopted, and even for an in-vehicle network designed in a star topology, by grasping a transmission position of an invalid frame, it is This makes it possible to cope with the situation, and to maintain a safe state as the whole in-vehicle network system.
図1は、実施の形態1、2における車載ネットワークシステム10の全体構成図である。FIG. 1 is an overall configuration diagram of a vehicle-mounted network system 10 according to the first and second embodiments. 図2は、実施の形態1、2におけるFlexRayのサイクルについての図である。FIG. 2 is a diagram illustrating a FlexRay cycle according to the first and second embodiments. 図3は、実施の形態1、2におけるFlexRayフレームのフォーマットを示した図である。FIG. 3 is a diagram showing a format of a FlexRay frame according to the first and second embodiments. 図4は、実施の形態1、2におけるECU200aの構成図である。FIG. 4 is a configuration diagram of the ECU 200a according to the first and second embodiments. 図5は、実施の形態1におけるセキュアスターカプラ300の構成図である。FIG. 5 is a configuration diagram of the secure star coupler 300 according to the first embodiment. 図6は、実施の形態1における不正検知ECU310の構成図である。FIG. 6 is a configuration diagram of the fraud detection ECU 310 according to the first embodiment. 図7は、実施の形態1、2における通信用設定パラメータ保持部205に格納される通信用設定パラメータの一例を示す図である。FIG. 7 is a diagram illustrating an example of communication setting parameters stored in the communication setting parameter holding unit 205 according to the first and second embodiments. 図8は、実施の形態1、2における受信フレーム保持部304に格納される受信フレーム情報の一例を示す図である。FIG. 8 is a diagram illustrating an example of the received frame information stored in the received frame holding unit 304 according to the first and second embodiments. 図9は、実施の形態1、2におけるルーティングテーブル保持部305に格納されるルーティングテーブルの一例を示す図である。FIG. 9 is a diagram illustrating an example of a routing table stored in the routing table holding unit 305 according to the first and second embodiments. 図10は、実施の形態1、2におけるフレーム情報保持部314に格納されるフレーム情報の一例を示す図である。FIG. 10 is a diagram illustrating an example of frame information stored in the frame information holding unit 314 according to the first and second embodiments. 図11は、実施の形態1、2におけるフレームルール保持部315に格納されるフレームルールの一例を示す図である。FIG. 11 is a diagram illustrating an example of a frame rule stored in the frame rule holding unit 315 according to the first and second embodiments. 図12は、実施の形態1、2におけるブランチ異常度保持部316に格納されるブランチ異常度の一例を示す図である。FIG. 12 is a diagram illustrating an example of a branch abnormality degree stored in the branch abnormality degree holding unit 316 according to the first and second embodiments. 図13は、実施の形態1、2における受信履歴保持部317に格納される受信履歴の一例を示す図である。FIG. 13 is a diagram illustrating an example of a reception history stored in the reception history holding unit 317 according to the first and second embodiments. 図14は、実施の形態1におけるセキュアスターカプラ300の処理フローチャートである。FIG. 14 is a processing flowchart of the secure star coupler 300 according to the first embodiment. 図15は、実施の形態1における不正検知ECU310の処理フローチャートである。FIG. 15 is a processing flowchart of the fraud detection ECU 310 in the first embodiment. 図16は、実施の形態2におけるセキュアスターカプラ1300の構成図である。FIG. 16 is a configuration diagram of a secure star coupler 1300 according to the second embodiment. 図17は、実施の形態2における不正検知ECU1310の構成図である。FIG. 17 is a configuration diagram of a fraud detection ECU 1310 according to the second embodiment. 図18は、実施の形態2におけるブラックリスト保持部1306に格納されるブラックリストの一例を示す図である。FIG. 18 is a diagram illustrating an example of a blacklist stored in the blacklist holding unit 1306 according to the second embodiment. 図19は、実施の形態2における走行状態保持部1307に格納される走行状態の一例を示す図である。FIG. 19 is a diagram illustrating an example of a traveling state stored in the traveling state holding unit 1307 according to the second embodiment. 図20は、実施の形態2におけるセキュアスターカプラ1300のフレーム受信時の処理フローチャートである。FIG. 20 is a processing flowchart when the secure star coupler 1300 according to the second embodiment receives a frame. 図21は、実施の形態2における不正検知ECU1310の処理フローチャートである。FIG. 21 is a processing flowchart of the fraud detection ECU 1310 according to the second embodiment.
 本開示の一実施様態の不正防止装置は、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおけるセキュアスターカプラであって、前記車載ネットワークには、1以上の電子制御装置と1つの車載ネットワークバスから構成される複数のブランチが、セキュアスターカプラを通じて接続され、前記電子制御装置は所定のタイムスロット内でフレームを送受信し、前記セキュアスターカプラは、ブランチ数に対応する複数のトランシーバ部と、ルーティング部と、ルーティングルール保持部とから構成され、前記トランシーバ部は、いずれかのブランチに接続されており、接続されているブランチのバスの物理信号をデジタル信号へ変換し、前記ルーティング部へ通知する受信部と、前記ルーティング部から受信したデジタル信号を物理信号へ変換し、前記バスへ送信する、送信部と、を備え、前記ルーティング部は、非転送条件に合致する場合を除き、第1のブランチに接続される第1のトランシーバ部から受信したデジタル信号を、前記第1のトランシーバ部以外の複数のトランシーバ部へ転送し、前記非転送条件は、前記ルーティングルール保持部に記載されている所定の条件に合致しない場合と、既に第1のブランチ接続される第1のトランシーバ部以外の第2のトランシーバ部からデジタル信号を受信し、前記第2のトランシーバ部以外のトランシーバ部へデジタル信号を転送している場合であり、前記ルーティングルール保持部は、タイムスロットと受信すべきブランチまたはトランシーバ部の識別子の対応を示したルールを保持するセキュアスターカプラである。これにより、不正なフレームを、ルーティングルールに合致しないブランチにて送信されたとしても、セキュアスターカプラにより、不正なフレームの転送を阻止され、車載ネットワークの安全性が向上する。 An anti-fraud device according to an embodiment of the present disclosure is a secure star coupler in a vehicle-mounted network that is a time-triggered communication system based on a time slot, wherein the vehicle-mounted network includes one or more electronic control devices and one vehicle-mounted device. A plurality of branches composed of a network bus are connected through a secure star coupler, the electronic control unit transmits and receives frames within a predetermined time slot, and the secure star coupler includes a plurality of transceiver units corresponding to the number of branches. , A routing unit, and a routing rule holding unit, wherein the transceiver unit is connected to one of the branches, converts a physical signal of a bus of the connected branch into a digital signal, and sends the digital signal to the routing unit. A receiving unit for notifying and receiving from the routing unit A transmission unit for converting the digital signal into a physical signal and transmitting the physical signal to the bus, wherein the routing unit is connected to the first branch unless the non-transfer condition is met. Transferring the digital signal received from the unit to a plurality of transceiver units other than the first transceiver unit, wherein the non-transfer condition does not match a predetermined condition described in the routing rule holding unit; Receiving the digital signal from a second transceiver unit other than the first transceiver unit connected to the first branch, and transferring the digital signal to a transceiver unit other than the second transceiver unit; The rule holding unit stores a rule indicating a correspondence between a time slot and an identifier of a branch or transceiver unit to be received. It is a Astor coupler. As a result, even if an illegal frame is transmitted on a branch that does not match the routing rule, the transfer of the illegal frame is prevented by the secure star coupler, and the security of the vehicle-mounted network is improved.
 また、前記セキュアスターカプラは、さらに、ブランチ異常度保持部を備え、前記ブランチ異常度保持部は、ブランチごとの異常度を保持し、前記異常度は、前記ルーティングルール保持部に保持される、ルールに合致しないタイミングで第3のトランシーバ部からデジタル信号を受信した場合に、前記第3のトランシーバ部に対応するブランチの異常度を増加させ、前記非転送条件は、加えて、デジタル信号を受信したトランシーバ部に対応する、ブランチ異常度に保持される対応する異常度が所定の値以上の場合であるとしてもよい。これにより、不正なフレームの送信が継続されていると判断されたブランチから送信されるフレームの転送を阻止することが可能となりうる。 Further, the secure star coupler further includes a branch abnormality degree holding unit, the branch abnormality degree holding unit holds an abnormality degree for each branch, the abnormality degree is held in the routing rule holding unit, When a digital signal is received from the third transceiver unit at a timing that does not match the rule, the degree of abnormality of the branch corresponding to the third transceiver unit is increased, and the non-transfer condition additionally includes the reception of the digital signal. It may be a case where the corresponding abnormality degree held in the branch abnormality degree corresponding to the transceiver unit described above is equal to or greater than a predetermined value. Thereby, it may be possible to prevent the transfer of the frame transmitted from the branch determined that the transmission of the illegal frame is continued.
 また、前記セキュアスターカプラは、さらに各ブランチのデジタル信号をデコードし、フレームにプロトコル上のエラー発生の有無を検知するエラー検知部を、ブランチごとに備え、前記異常度は、加えて、前記ルーティングルール保持部に記載されている、ルールが有効なタイムスロットにおいて、第1のエラー検知部がエラーを検知した場合に、第1のエラー検知部に対応するブランチの異常度を増加させるとしてもよい。これにより、ルーティングルールに従った転送を行い、車載ネットワークの安全性を保ちながら、不正なフレームの送信が試行されているブランチを把握することが可能となる。 Further, the secure star coupler further includes an error detection unit that decodes a digital signal of each branch and detects whether or not an error has occurred in a protocol in a frame for each branch. When the first error detection unit detects an error in a time slot in which the rule is valid, which is described in the rule holding unit, the degree of abnormality of the branch corresponding to the first error detection unit may be increased. . As a result, it is possible to perform the transfer according to the routing rule and to grasp the branch in which the transmission of the illegal frame is being attempted while maintaining the security of the vehicle-mounted network.
 また、前記セキュアスターカプラは、さらに電子制御装置と通信を行うための通信制御部を備え、前記ルーティング部は、さらに前記第1のトランシーバ部から受信したデジタル信号を、デコードし、フレームとして解釈するデコーダ部と、前記フレームと、転送元である前記第1のトランシーバ部を示す識別子と、を併せて保持する受信フレーム保持部と、を備え、前記通信制御部は、前記受信フレーム保持部の情報を、電子制御装置へ通知するとしてもよい。これにより、受信フレームの送信元ブランチを、外部装置が容易に把握することが可能となり、不正の発生原因の特定が容易になりうる。 The secure star coupler further includes a communication control unit for performing communication with an electronic control unit, and the routing unit further decodes a digital signal received from the first transceiver unit and interprets the digital signal as a frame. A receiving frame holding unit for holding together a decoder unit, the frame, and an identifier indicating the first transceiver unit that is a transfer source, wherein the communication control unit includes information of the receiving frame holding unit. May be notified to the electronic control unit. As a result, the source branch of the received frame can be easily grasped by the external device, and the cause of the fraud can be easily specified.
 また、前記セキュアスターカプラは、さらに、ブラックリストを保持するブラックリスト保持部を備え、前記ブラックリスト保持部は、転送を禁止する、所定のタイムスロットにおけるフレームに含まれるペイロードの値の条件を保持し、前記ルーティング部は、さらに転送中のデジタル信号をデコードし、前記ブラックリスト保持部に含まれる、対応するルールとの照合を行うブラックリスト照合部を備え、前記ブラックリスト照合部は、転送中のデジタル信号が、前記ブラックリストに合致していると判断した場合に、以降のデジタル信号の転送を停止するとしてもよい。これにより、ルーティングルールに合致する不正なフレームであっても、フレームに含まれるペイロードから不正なフレームを検知し、転送を阻止することが可能となる。 In addition, the secure star coupler further includes a blacklist holding unit that holds a blacklist, and the blacklist holding unit holds a condition of a value of a payload included in a frame in a predetermined time slot, which prohibits transfer. The routing unit further includes a blacklist matching unit that decodes the digital signal being transferred and is included in the blacklist holding unit and performs matching with a corresponding rule. If the digital signal is determined to match the blacklist, the transfer of the subsequent digital signal may be stopped. As a result, even if the frame is an illegal frame that matches the routing rule, it is possible to detect the illegal frame from the payload included in the frame and prevent the transfer.
 また、前記セキュアスターカプラは、さらに、走行状態保持部を備え、前記通信制御部は、さらに、電子制御装置から、走行状態を受信し、前記走行状態保持部の値を更新する、走行状態受信部を備え、前記ブラックリスト照合部は、走行状態保持部の走行状態が、所定の条件を満たしている時のみ、前記ブラックリストに合致した転送中の信号の以降の転送を停止するとしてもよい。これにより、車両の走行状態に応じて、不正フレームの転送禁止の有無を切り替えることで、運転者にとって危険な状況における不正フレームの送信を阻止しつつ、安全な状況においては車載ネットワークシステムへの介入を避けることが可能となる。 Further, the secure star coupler further includes a traveling state holding unit, and the communication control unit further receives a traveling state from an electronic control device and updates a value of the traveling state holding unit. The blacklist collating unit may stop the subsequent transmission of the signal being transmitted that matches the blacklist only when the traveling state of the traveling state holding unit satisfies a predetermined condition. . In this way, by switching whether or not to prohibit the transfer of unauthorized frames according to the running state of the vehicle, it is possible to prevent the transmission of unauthorized frames in situations that are dangerous for the driver, and to intervene in the in-vehicle network system in safe situations. Can be avoided.
 また、本開示の一実施様態の不正防止方法は、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正防止方法であって、前記車載ネットワークには、1以上の電子制御装置と1つの車載ネットワークバスから構成される複数のブランチが、セキュアスターカプラを通じて接続され、前記電子制御装置は所定のタイムスロット内でフレームを送受信し、前記不正防止方法は、ブランチ数に対応する複数の送受信ステップと、ルーティングステップと、ルーティングルール保持ステップと、から構成され、前記送受信ステップは、いずれかのブランチのバスの物理信号をデジタル信号へ変換し、前記ルーティングステップへ通知する受信ステップと、前記ルーティングステップから受信したデジタル信号を物理信号へ変換し、前記バスへ送信する、送信ステップと、を備え、前記ルーティングステップは、非転送条件に合致する場合を除き、第1のブランチの物理信号を扱う第1の送受信ステップから受信したデジタル信号を、前記第1の送受信ステップ以外の複数の送受信ステップへ転送し、前記非転送条件は、前記ルーティングルール保持ステップで記載された所定の条件に合致しない場合と、既に第1のブランチの物理信号を扱う第1の送受信ステップ以外の第2の送受信ステップからデジタル信号を受信し、前記第2の送受信ステップ以外の送受信ステップへデジタル信号を転送している場合であり、前記ルーティングルール保持ステップは、タイムスロットと受信すべきブランチまたは送受信ステップの識別子の対応を示したルールを保持する不正防止方法である。これにより、不正なフレームを、ルーティングルールに合致しないブランチにて送信されたとしても、セキュアスターカプラにより、不正なフレームの転送を阻止され、車載ネットワークの安全性が向上する。 Further, a fraud prevention method according to an embodiment of the present disclosure is a fraud prevention method in a vehicle-mounted network that is a time-triggered communication system based on a time slot, wherein the vehicle-mounted network includes one or more electronic control devices and one or more electronic control devices. A plurality of branches composed of one vehicle-mounted network bus are connected through a secure star coupler, the electronic control unit transmits and receives frames within a predetermined time slot, and the fraud prevention method includes a plurality of transmission and reception corresponding to the number of branches. A transmitting / receiving step of converting a physical signal of a bus of any branch into a digital signal and notifying the digital signal to the routing step; Digital signal received from step Transmitting the signal to the bus, and transmitting the signal to the bus, wherein the routing step receives from the first transmission / reception step that handles the physical signal of the first branch unless the non-transfer condition is met. The digital signal is transferred to a plurality of transmission / reception steps other than the first transmission / reception step, and the non-transfer condition does not match the predetermined condition described in the routing rule holding step, and the first branch already exists. A digital signal is received from a second transmission / reception step other than the first transmission / reception step that handles the physical signal, and the digital signal is transferred to a transmission / reception step other than the second transmission / reception step. The step includes a rule indicating the correspondence between the time slot and the identifier of the branch or transmission / reception step to be received. A fraud prevention method of equity. As a result, even if an illegal frame is transmitted on a branch that does not match the routing rule, the transfer of the illegal frame is prevented by the secure star coupler, and the security of the vehicle-mounted network is improved.
 以下、実施の形態に係る不正防止装置について、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。 Hereinafter, a fraud prevention device according to an embodiment will be described with reference to the drawings. Each of the embodiments described here is a specific example of the present disclosure. Therefore, the numerical values, the components, the arrangement and connection of the components, the steps (processes), the order of the steps, and the like shown in the following embodiments are merely examples and do not limit the present disclosure. Among the components in the following embodiments, components not described in the independent claims are components that can be arbitrarily added. In addition, each drawing is a schematic diagram, and is not necessarily strictly illustrated.
 (実施の形態1)
 1.システムの構成
 ここでは、本開示の実施の形態として、スター型トポロジの車載ネットワークを監視し、各フレームと、各フレームの送信元のブランチを示す情報に基づいて、不正なフレームの送信を検知、または防止するセキュアスターカプラ300と不正検知ECU310について図面を参照しながら説明する。 (Embodiment 1)
1. System Configuration Here, as an embodiment of the present disclosure, monitoring the in-vehicle network of the star topology, each frame, based on the information indicating the branch of the transmission source of each frame, detects the transmission of an unauthorized frame, Alternatively, the secure star coupler 300 and the fraud detection ECU 310 to be prevented will be described with reference to the drawings.
 1.1 車載ネットワークシステム10の全体構成
 図1は、本開示に係る車載ネットワークシステム10の全体構成を示す図である。車載ネットワークシステム10は、FlexRayバス100a、100b、100c、100d、と各バスに接続される、ECU200a、200b、200c、200d、各ECUの制御対象であるハンドル210、ギア220、ブレーキ230、カメラ240と、各FlexRayバスを接続するセキュアスターカプラ300と、セキュアスターカプラ300と通信線110により接続される不正検知ECU310と、から構成される。ECU200a~200dは、FlexRayバスを通じて、フレームの送受信を行うことで、車両の制御を実現する。不正検知ECU310はセキュアスターカプラ300を通じてFlexRayバスを観測することで、不正なフレームの送信を検知する。またFlexRayバス100a、100b、100c、100dは、どのバスにも同じ信号が流れるようにスターカプラが信号の整形を行い、各ECUは、FlexRayバスを通じて同期をとっている。ここでは各バスのことをブランチと呼ぶ。 1.1 Overall Configuration of In-Vehicle Network System 10 FIG. 1 is a diagram illustrating the overall configuration of the in-vehicle network system 10 according to the present disclosure. The in-vehicle network system 10 includes the FlexRay buses 100a, 100b, 100c, and 100d, and the ECUs 200a, 200b, 200c, and 200d connected to the buses. And a secure star coupler 300 for connecting each FlexRay bus, and a fraud detection ECU 310 connected to the secure star coupler 300 via the communication line 110. The ECUs 200a to 200d realize control of the vehicle by transmitting and receiving frames via the FlexRay bus. The fraud detection ECU 310 detects transmission of a fraudulent frame by observing the FlexRay bus through the secure star coupler 300. In the FlexRay buses 100a, 100b, 100c, and 100d, the star coupler shapes the signals so that the same signal flows through any of the buses, and the ECUs are synchronized through the FlexRay bus. Here, each bus is called a branch.
 1.2 FlexRayサイクル
 図2は、本開示に係るFlexRay通信のサイクルを示す図である。FlexRayの通信はサイクル(Cycle)と呼ばれる単位で行われ、サイクルの繰り返し回数(サイクルカウンタ)を各ノードが同期して保持しており、サイクルカウンタは0~63の値をとる。サイクルカウンタが63である次のサイクルはサイクルカウンタを0にリセットする。 1.2 FlexRay cycle FIG. 2 is a diagram illustrating a cycle of FlexRay communication according to the present disclosure. FlexRay communication is performed in units called a cycle, and each node synchronously holds the number of cycle repetitions (cycle counter). The cycle counter takes a value of 0 to 63. The next cycle in which the cycle counter is 63 resets the cycle counter to zero.
 各サイクルは、静的セグメント(Static segment)、動的セグメント(Dynamic segment)、シンボルウィンドウ(Symbol window)、ネットワークアイドルタイム(NIT)の4つのセグメントから構成される。各セグメントの時間は予め設計されたパラメータによって、FlexRayネットワーク全体(クラスタ)で共通であるため、1サイクルの時間も同様にクラスタで共通である。 Each cycle is composed of four segments: a static segment (Static segment), a dynamic segment (Dynamic segment), a symbol window (Symbol window), and a network idle time (NIT). Since the time of each segment is common to the entire FlexRay network (cluster) according to parameters designed in advance, the time of one cycle is also common to the cluster.
 静的セグメントは、複数のスロットから構成される。スロットの個数、および各スロットの時間はクラスタ内で共通である。またFlexRayフレームは1スロット内に1つのフレームが送信され、スロットの番号がフレームの識別子(Frame ID)となる。各ECUは予め定められたタイミング(スロット番号)で、フレームの送信を行うように設計されている。静的セグメント内で送信されるフレームを静的フレームとよぶ。静的フレームは、ペイロード長がクラスタ内で共通となっている。 The static segment is composed of multiple slots. The number of slots and the time of each slot are common in the cluster. In the FlexRay frame, one frame is transmitted in one slot, and the slot number becomes a frame identifier (Frame (ID). Each ECU is designed to transmit a frame at a predetermined timing (slot number). A frame transmitted in a static segment is called a static frame. The static frame has a common payload length within the cluster.
 動的セグメントは、ミニスロットと呼ばれるスロットから構成される。ミニスロットにも同様にスロット番号が存在し、各ECUは、予め定められたタイミング(スロット番号)で送信を行うように設計されているが、静的セグメントと異なり、必ずしもフレームの送信を行う必要はない。動的セグメント内で送信されるフレーム動的フレームとよぶ。動的フレームは、ペイロード長として0~254の任意の値をとることができる。 The dynamic segment is composed of slots called mini slots. Similarly, mini-slots have slot numbers, and each ECU is designed to transmit at a predetermined timing (slot number), but unlike the static segment, it is necessary to transmit a frame. There is no. Frames transmitted within the dynamic segment are called dynamic frames. The dynamic frame can take any value from 0 to 254 as the payload length.
 シンボルウィンドウは、シンボルと呼ばれる信号の送受信を行う時間帯である。 The symbol window is a time zone for transmitting and receiving signals called symbols.
 ネットワークアイドルタイムは、通信を行わない時間帯であり、サイクルの最後に必ず設けられる。各ECUは、時刻の同期処理等を行う。 The network idle time is a time period during which communication is not performed, and is always provided at the end of a cycle. Each ECU performs a time synchronization process and the like.
 1.3 フレームフォーマット
 図3は、本開示に係るFlexRayプロトコルのフレームフォーマットを示す図である。静的フレームおよび動的フレームともに共通のフォーマットである。フレームは、Header Segment、Payload Segment、Trailer Segmentの3つのセグメントから構成される。 1.3 Frame Format FIG. 3 is a diagram illustrating a frame format of the FlexRay protocol according to the present disclosure. Both the static frame and the dynamic frame have a common format. The frame is composed of three segments: a Header Segment, a Payload Segment, and a Trailer Segment.
 Header SegmentはReserved bitから始まり、フレームの種別を表すための、Payload preamble indicator、Null frame indicator、Sync frame indicator、Startup frame indicatorがそれぞれ1ビットずつ含まれる。さらに11ビットのFrame IDと、7ビットのPayload length、11ビットのHeader CRC、6ビットのCycle countから構成される。Frame IDは、スロットIDとも呼ばれ、フレームの送信タイミング及び、フレームの内容を識別するために用いられる。Payload lengthは最大127の値をとり得る。Payload SegmentにはPayload lengthの値に2をかけたバイト数が格納される。Header CRCはSync frame indicatorからPayload lengthまでを含んだ値から計算されるチェックサムである。Cycle countは、現在のサイクル数が格納される。 {Header} Segment starts with Reserved @ bit, and includes Payload @ preamble @ indicator, Null @ frame @ indicator, Sync @ frame @ indicator, and Startup @ frame @ indicator each for indicating a frame type. Further, it is composed of an 11-bit Frame @ ID, a 7-bit Payload @ length, an 11-bit Header @ CRC, and a 6-bit Cycle @ count. The Frame @ ID is also called a slot ID, and is used to identify the transmission timing of a frame and the contents of the frame. Payload @ length can take a maximum value of 127. Payload @ Segment stores the number of bytes obtained by multiplying the value of Payload @ length by two. Header @ CRC is a checksum calculated from a value including Sync @ frame @ indicator to Payload @ length. Cycle @ count stores the current number of cycles.
 Payload Segmentには、フレームの内容を表すデータが含まれる。Payload lengthの値の2倍のバイト数が格納されており、最大で254バイトが格納される。 {Payload} Segment contains data representing the contents of the frame. The number of bytes that is twice the value of Payload @ length is stored, and a maximum of 254 bytes is stored.
 Trailer Segmentにはフレームの全てを含んだ値から計算されるCRCが格納されている。 {Trailer} Segment stores a CRC calculated from a value including all frames.
 1.4 ECU200aの構成図
 図4は、ECU200aの構成図である。なお、ECU200b、ECU200c、ECU200dも同様の構成要素のため、説明を省略する。 1.4 Configuration of ECU 200a FIG. 4 is a configuration of the ECU 200a. Note that the ECU 200b, the ECU 200c, and the ECU 200d are the same components, and thus the description is omitted.
 ECU200aは、フレーム送受信部201と、フレーム解釈部202と外部機器制御部203と、フレーム生成部204と、通信用設定パラメータ保持部205と、から構成される。 The ECU 200a includes a frame transmission / reception unit 201, a frame interpretation unit 202, an external device control unit 203, a frame generation unit 204, and a communication setting parameter holding unit 205.
 フレーム送受信部201は、バス100aから受信した物理信号を、デジタル信号に復号することでフレームの情報を取得する。フレーム送受信部は通信用設定パラメータ保持部205に保持される、通信用設定パラメータを参照することで、他のECUと時刻を同期し、正しくフレームを受信することができる。またフレーム送受信部201は、フレーム生成部204から、通知される送信フレーム要求に従い、予め定められたタイミングで、フレームを物理信号に変換して、バス100aに送信する。 The frame transmission / reception unit 201 acquires frame information by decoding a physical signal received from the bus 100a into a digital signal. The frame transmitting / receiving unit can synchronize the time with the other ECUs by referring to the communication setting parameters held in the communication setting parameter holding unit 205, and can correctly receive the frame. Further, the frame transmission / reception unit 201 converts the frame into a physical signal at a predetermined timing in accordance with the transmission frame request notified from the frame generation unit 204, and transmits the physical signal to the bus 100a.
 フレーム解釈部202は、フレーム送受信部201から通知される受信したフレームに含まれるペイロードを解釈し、ペイロードの内容に応じてECU200aに接続されるハンドル210の制御を行うために外部機器制御部へ通知を行う。例えば、他のECUから通知される車両の速度の情報に基づいて、走行状態を判断し、走行状態に応じたハンドルのアシスト制御や、自動駐車モード時のステアリング操舵指示信号に基づいて、ハンドルの自動操舵を実現する。 The frame interpreting unit 202 interprets the payload included in the received frame notified from the frame transmitting / receiving unit 201, and notifies the external device control unit to control the handle 210 connected to the ECU 200a according to the content of the payload. I do. For example, the traveling state is determined based on the vehicle speed information notified from another ECU, and the steering assist is controlled in accordance with the traveling state, and the steering operation is performed based on a steering instruction signal in an automatic parking mode. Realize automatic steering.
 外部機器制御部203は、ECU200aに接続されるハンドル210の制御を行う。またハンドル210の状態を監視し、他のECUに状態を通知するためのフレーム送信要求をフレーム生成部に通知する。例えば、ハンドル210の角度を通知する。 The external device control unit 203 controls the handle 210 connected to the ECU 200a. Also, it monitors the state of the handle 210 and notifies the frame generation unit of a frame transmission request for notifying the other ECUs of the state. For example, the angle of the handle 210 is notified.
 フレーム生成部204は、通知された信号に基づいて、フレームの生成を行い、フレーム送受信部201へ送信要求を行う。 (4) The frame generation unit 204 generates a frame based on the notified signal, and issues a transmission request to the frame transmission / reception unit 201.
 通信用設定パラメータ保持部205は、物理信号を正しく、デジタル信号に変換するための、クラスタ内で共通のパラメータが保持されている。図7に通信用設定パラメータ保持部205に保持される通信用設定パラメータの一例を示し、詳細は後述する。 The communication setting parameter holding unit 205 holds common parameters in a cluster for correctly converting a physical signal into a digital signal. FIG. 7 shows an example of communication setting parameters stored in the communication setting parameter storage unit 205, which will be described in detail later.
 1.5 セキュアスターカプラ300の構成図
 図5は、セキュアスターカプラ300の構成図である。セキュアスターカプラ300は、トランシーバ部301a、301b、301c、301d、ルーティング部302、ECUインターフェース部303、受信フレーム保持部304、ルーティングテーブル保持部305と、から構成される。 1.5 Configuration of Secure Star Coupler 300 FIG. 5 is a configuration of the secure star coupler 300. The secure star coupler 300 includes transceiver units 301a, 301b, 301c, 301d, a routing unit 302, an ECU interface unit 303, a received frame holding unit 304, and a routing table holding unit 305.
 トランシーバ部301aは、バス100aから受信した物理信号を、デジタル信号に変換し、ルーティング部302へ通知する。またデジタル信号をルーティング部302から通知された場合は、通知されたデジタル信号を、物理信号へ変換し、バス100aへ転送する。他のトランシーバ部301b、301c、301dも同様の機能を有する。 (4) The transceiver unit 301a converts a physical signal received from the bus 100a into a digital signal and notifies the digital signal to the routing unit 302. When a digital signal is notified from the routing unit 302, the digital signal is converted into a physical signal and transferred to the bus 100a. The other transceiver units 301b, 301c, 301d have the same function.
 ルーティング部302は、トランシーバ部301aから通知されたデジタル信号を、トランシーバ部301aを除くトランシーバ部301b、301c、301d、へ転送する。同様にトランシーバ部301bからデジタル信号を通知された場合は、トランシーバ部301bを除く、トランシーバ部に対して、デジタル信号を通知する。また、受信中の信号と、どのブランチから信号を受信しているかの入力ブランチ情報をECUインターフェース部303へ通知する。さらにECUインターフェース部からルーティングテーブルに基き、スロット番号と、受信ブランチ(トランシーバ部)の対応を設定でき、当該スロット番号のタイミングにおいては、設定された受信ブランチの信号を他のブランチへ転送する。設定されていない受信ブランチからの信号は無視され、他のブランチへ転送されない。スロット番号と、受信ブランチの対応が設定されていないタイミングにおいては、一番早く信号を受信したブランチからの信号を、他のブランチへ転送する。 (4) The routing unit 302 transfers the digital signal notified from the transceiver unit 301a to the transceiver units 301b, 301c, and 301d excluding the transceiver unit 301a. Similarly, when the digital signal is notified from the transceiver unit 301b, the digital signal is notified to the transceiver units except the transceiver unit 301b. The ECU interface unit 303 is also notified of the signal being received and the input branch information indicating from which branch the signal is being received. Further, the correspondence between the slot number and the receiving branch (transceiver unit) can be set from the ECU interface unit based on the routing table. At the timing of the slot number, the signal of the set receiving branch is transferred to another branch. Signals from the receiving branch that are not set are ignored and are not transferred to other branches. At the timing when the correspondence between the slot number and the reception branch is not set, the signal from the branch that received the signal first is transferred to another branch.
 ECUインターフェース部303は、ルーティング部302より通知される受信した信号と、入力ブランチ情報を通知されると、受信した信号を解釈し、受信フレームに変換し、受信フレーム保持部304に、入力ブランチ情報とともに保存する。不正検知ECU310の要求に従って、受信フレーム保持部304に格納されている、受信フレームの情報と入力ブランチ情報を通知する。さらにルーティングテーブル保持部305に格納されている、各スロットにおける受信するブランチのテーブルの書き換えや、ルーティング部302への反映等の指示を解釈し、実行する。 When notified of the received signal notified by the routing unit 302 and the input branch information, the ECU interface unit 303 interprets the received signal, converts the signal into a received frame, and sends the received frame information to the received frame holding unit 304. Save with. According to the request of the fraud detection ECU 310, the information of the received frame and the input branch information stored in the received frame holding unit 304 are notified. Further, it interprets and executes instructions such as rewriting the table of the branch to be received in each slot stored in the routing table holding unit 305 and reflecting it on the routing unit 302.
 受信フレーム保持部304は、受信したフレームの情報が保持されている。図8に受信フレーム保持部304に格納されている受信フレームの情報の一例を示す。 The received frame holding unit 304 holds information on received frames. FIG. 8 shows an example of received frame information stored in the received frame holding unit 304.
 ルーティングテーブル保持部305は、各スロットにおける、受信するブランチを示したテーブルを格納している。図9にルーティングテーブル保持部305に格納されているテーブルの一例を示す。 The routing table holding unit 305 stores a table indicating a branch to be received in each slot. FIG. 9 shows an example of a table stored in the routing table holding unit 305.
 1.6 不正検知ECU310の構成図
 図6は、不正検知ECU310の構成図である。不正検知ECU310は、スターカプラ通信制御部311、不正検知部312、フレーム生成部313、通信用設定パラメータ保持部205、フレーム情報保持部314、フレームルール保持部315、ブランチ異常度保持部316、受信履歴保持部317、とから構成される。なお、ECU200aと同様の機能であるものは、同じ番号を付与して説明を省略する。 1.6 Configuration Diagram of Fraud Detection ECU 310 FIG. 6 is a configuration diagram of the fraud detection ECU 310. The fraud detection ECU 310 includes a star coupler communication control unit 311, a fraud detection unit 312, a frame generation unit 313, a communication setting parameter storage unit 205, a frame information storage unit 314, a frame rule storage unit 315, a branch abnormality degree storage unit 316, and a reception unit. And a history holding unit 317. The functions having the same functions as those of the ECU 200a are given the same numbers, and the description is omitted.
 スターカプラ通信制御部311は、セキュアスターカプラ300との通信インターフェースであり、通信用設定パラメータ保持部205に格納されている、通信用設定パラメータに基づいて、セキュアスターカプラ300の設定を行う。セキュアスターカプラ300の設定には、スロットと受信ブランチの関係を示したテーブルに基づくルーティングの制御情報も含まれうる。また、セキュアスターカプラ300が受信したフレームに関する情報を受信し、不正検知部312へ通知する。フレーム生成部313からフレームの送信を要求されると、送信フレームの内容を、セキュアスターカプラ300へ通知する。 The star coupler communication control unit 311 is a communication interface with the secure star coupler 300, and sets the secure star coupler 300 based on the communication setting parameters stored in the communication setting parameter holding unit 205. The setting of the secure star coupler 300 can also include routing control information based on a table indicating the relationship between slots and reception branches. Further, it receives information about the frame received by the secure star coupler 300 and notifies the fraud detecting unit 312 of the information. When a frame transmission is requested from the frame generation unit 313, the content of the transmission frame is notified to the secure star coupler 300.
 不正検知部312は、スターカプラ通信制御部311から、受信したフレームに関わる情報を通知され、受信したフレームが、正常なフレームであるかを判断する。正常フレームであるかの判断は、フレーム情報保持部314に格納されているIDと受信ブランチテーブルを参照することで、受信したフレームのIDと、受信ブランチの対応が正しいかを確認し、受信したフレームと受信ブランチの対応が正しい場合は、フレームルール保持部315に格納されているIDごとのルールと、受信履歴保持部317に保持されている受信履歴を参照し、不正なフレームが送信されているかを判断する。不正なフレームが送信されていると判断された場合は、他のECUに不正なフレームが送信されていることを通知するために、フレーム生成部313に通知を行うと共に、不正なフレームの送信を行ったブランチに対して、ブランチ異常度保持部316に格納されている各ブランチの異常度の値を増加させる。また、不正検知部312は、不正なフレームの送信元であるブランチから、他のブランチへ不正なフレームが転送されることを防ぐために、セキュアスターカプラ300のルーティングテーブル保持部305に格納されている、スロットと、入力ブランチの対応関係を表したテーブルの書き換えおよび、ルーティング部302への制御反映を通知する。 (4) The fraud detecting unit 312 is notified of information about the received frame from the star coupler communication control unit 311 and determines whether the received frame is a normal frame. The determination as to whether the frame is a normal frame is made by referring to the ID and the reception branch table stored in the frame information holding unit 314, and confirming whether the correspondence between the ID of the received frame and the reception branch is correct. If the correspondence between the frame and the reception branch is correct, an invalid frame is transmitted by referring to the rule for each ID stored in the frame rule storage 315 and the reception history stored in the reception history storage 317. To determine If it is determined that an invalid frame has been transmitted, a notification is sent to the frame generation unit 313 to notify other ECUs that the invalid frame is being transmitted, and the transmission of the invalid frame is performed. For the executed branch, the value of the degree of abnormality of each branch stored in the branch abnormality degree holding unit 316 is increased. Further, the fraud detecting unit 312 is stored in the routing table holding unit 305 of the secure star coupler 300 in order to prevent a fraudulent frame from being transferred from a branch that is a source of a fraudulent frame to another branch. , The slot and the input branch, and a notification of the control to the routing unit 302.
 フレーム情報保持部314は、各ECUが送信するフレームに関するIDのリストや、送信元のブランチを格納している。図10にフレーム情報保持部314が保持するフレーム情報の一例を示し、詳細は後述する。 The frame information holding unit 314 stores a list of IDs of frames transmitted by each ECU and a branch of a transmission source. FIG. 10 shows an example of the frame information held by the frame information holding unit 314, which will be described later in detail.
 フレームルール保持部315は、不正検知部312が、フレームを受信したときに、当該フレームが不正であるかどうかを判定するためのルールを格納している。図11にフレームルール保持部315に格納されるフレームルールの一例を示し、詳細は後述する。 The frame rule holding unit 315 stores a rule for the fraud detecting unit 312 to determine whether the frame is fraudulent when the frame is received. FIG. 11 shows an example of a frame rule stored in the frame rule holding unit 315, which will be described in detail later.
 ブランチ異常度保持部316は、不正なフレームの受信数に基づく、ブランチごとの異常度を格納している。図12にブランチ異常度保持部316に格納されるブランチ異常度の一例を示し、詳細は後述する。 The branch abnormality degree holding unit 316 stores the degree of abnormality for each branch based on the number of illegal frames received. FIG. 12 shows an example of the branch abnormality degree stored in the branch abnormality degree holding unit 316, which will be described in detail later.
 受信履歴保持部317は、受信したフレームに関する情報(ペイロード情報、フレームの種類などのメタ情報、フレームの受信数、等)を格納している。図13に受信履歴保持部317に格納される受信履歴の一例を示し、詳細は後述する。 The reception history holding unit 317 stores information on received frames (payload information, meta information such as the type of frame, the number of received frames, and the like). FIG. 13 shows an example of the reception history stored in the reception history holding unit 317, which will be described later in detail.
 1.7 通信用設定パラメータの一例
 図7は、通信用設定パラメータ保持部205に格納されている通信用設定パラメータの一例を示している。通信用設定パラメータとしては、通信の速度を表すボーレートが10Mbpsであることと、静的セグメントのスロットIDが1~50であること、動的セグメントのスロットIDが51~100であることを示している。また静的スロットのペイロード長が8(つまり16バイト)であることが示されている。これらの値は、クラスタ内のECU全てに共有されており、これらの値を元にFlexRayフレームの送受信を実現する。なお通信用設定パラメータの値は一例に過ぎず、別の値であっても構わない。また、ここで示したパラメータも一例に過ぎず、図7に記載のないパラメータ(例えば、各セグメントの長さや、スロットの長さ等)が含まれていてもよいし、逆に記載されているパラメータの一部が含まれていなくてもよい。 1.7 Examples of Communication Setting Parameters FIG. 7 shows an example of communication setting parameters stored in the communication setting parameter holding unit 205. The communication setting parameters indicate that the baud rate indicating the communication speed is 10 Mbps, the slot ID of the static segment is 1 to 50, and the slot ID of the dynamic segment is 51 to 100. I have. It also shows that the payload length of the static slot is 8 (that is, 16 bytes). These values are shared by all the ECUs in the cluster, and the transmission and reception of the FlexRay frame is realized based on these values. The value of the communication setting parameter is merely an example, and another value may be used. Also, the parameters shown here are merely examples, and may include parameters not described in FIG. 7 (for example, the length of each segment, the length of a slot, and the like), or may be described in reverse. Some of the parameters may not be included.
 1.8 受信フレーム情報の一例
 図8は、セキュアスターカプラ300の受信フレーム保持部304に格納される受信フレームリストの一例を示している。 1.8 Example of Received Frame Information FIG. 8 shows an example of a received frame list stored in the received frame holding unit 304 of the secure star coupler 300.
 図では、上から順に最新の受信フレームに関する情報が保持されている。受信フレームの情報は、フレームごとに、フレームを受信したブランチ、受信スロットID、サイクル、ペイロード長、フレームに含まれるペイロード情報、Preamble indicatorのフラグ状態、フレームが正しく受信されたかを示すエラーフラグが保持されている。 In the figure, information on the latest received frame is stored in order from the top. The information of the received frame includes, for each frame, a branch that received the frame, a reception slot ID, a cycle, a payload length, payload information included in the frame, a flag state of the Preamble indicator, and an error flag indicating whether the frame was correctly received. Have been.
 1.9 ルーティングテーブルの一例
 図9は、セキュアスターカプラ300のルーティングテーブル保持部305に格納される、ルーティングテーブルの一例を示している。 1.9 Example of Routing Table FIG. 9 shows an example of a routing table stored in the routing table holding unit 305 of the secure star coupler 300.
 図では、ある特定のタイミング(スロットID、Cycle offset、Cycle receptionの組み合わせにより決定される)と、当該タイミングで信号を受信するブランチを規定したテーブルが保持されている。スロットIDが1、Cycle offsetが0、Cycle receptionが1、のタイミングにおいては、入力ブランチが100cとなっており、バス100cから受信した信号を、他のブランチへ転送するようにルーティング部302が制御する。その際に、バス100c以外から信号を受信したとしてもルーティング部302は、当該信号を無視する。同様に、スロットIDが3、Cycle offsetが0、Cycle receptionが2、のタイミングの入力ブランチは100aであり、スロットIDが98、Cycle offsetが1、Cycle receptionが2のタイミングの入力ブランチは100bであることを示している。 In the figure, a table that defines a specific timing (determined by a combination of a slot ID, a cycle offset, and a cycle reception) and a branch that receives a signal at the timing is held. At the timing when the slot ID is 1, Cycle @ offset is 0, and Cycle @ reception is 1, the input branch is 100c, and the routing unit 302 controls the signal received from the bus 100c to transfer it to another branch. I do. At this time, even if a signal is received from a device other than the bus 100c, the routing unit 302 ignores the signal. Similarly, the input branch at a timing when the slot ID is 3, the cycle @ offset is 0, and the cycle @ reception is 2 is 100a, and the input branch at a timing when the slot ID is 98, the cycle @ offset is 1 and the cycle @ reception is 2 is 100b. It indicates that there is.
 1.10 フレーム情報の一例
 図10は、不正検知ECU310のフレーム情報保持部314に格納される、フレーム情報の一例を示している。 1.10 Example of Frame Information FIG. 10 shows an example of frame information stored in the frame information holding unit 314 of the fraud detection ECU 310.
 図では、スロットIDとCycle offset、Cycle reception、フレーム名、フレームに含まれるペイロード情報が保持されている。Cycle offsetとCycle receptionは、サイクル多重化(サイクルマルチプレキシング)と呼ばれる同じスロットIDであっても異なる内容のフレームを送受信する方法が用いられるときに対象のフレームを抽出するために必要な情報である。例えばスロットIDが99のフレームには4つのフレーム名が存在し、それぞれのフレームでカメラ情報1、カメラ情報2、カメラ情報3、カメラ情報4の異なる内容を通知する。カメラ情報1ではCycle offsetが0で、Cycle receptionが4である。これはサイクルカウンタが0からスタートし、4サイクルごとに当該フレームを送信することを意味する。つまりカメラ情報1が通知されるフレームDが送信されるのは、サイクルカウンタが、0、4、8、12、16、・・・、52、56、60のスロットIDが99のときに送信されることを示している。同様にカメラ情報2を含むフレームEは、サイクルカウンタが1、5、9、・・・53、57、61のスロットIDが99のときに送信され、カメラ情報3を含むフレームFは、サイクルカウンタが2、6、10、・・・、54、58、62のサイクルIDが99のときに送信され、カメラ情報4が含まれるフレームGは、サイクルカウンタが3、7、11、・・・、55、59、63のサイクルIDが99のときに送信される。上記のように異なるフレームを同一スロットIDで送信する方法をサイクルマルチ多重化とよぶ。また、各フレームの情報として、送信元のECUと、送信元ECUが接続されるブランチの情報を保持している。 In the figure, a slot ID, a cycle offset, a cycle reception, a frame name, and payload information included in the frame are held. Cycle @ offset and Cycle @ reception are information necessary for extracting a target frame when a method of transmitting and receiving frames having different contents is used even with the same slot ID called cycle multiplexing (cycle multiplexing). . For example, a frame with a slot ID of 99 has four frame names, and different contents of camera information 1, camera information 2, camera information 3, and camera information 4 are notified in each frame. In the camera information 1, Cycle @ offset is 0, and Cycle @ reception is 4. This means that the cycle counter starts from 0 and transmits the frame every four cycles. That is, the frame D in which the camera information 1 is notified is transmitted when the slot ID of the cycle counter is 0, 4, 8, 12, 16, ..., 52, 56, 60 is 99. Which indicates that. Similarly, the frame E including the camera information 2 is transmitted when the cycle ID of the cycle counter is 1, 5, 9,... 53, 57, 61 is 99, and the frame F including the camera information 3 is the cycle counter. Are transmitted when the cycle ID of 2, 6, 10,..., 54, 58, 62 is 99, and the frame G including the camera information 4 has the cycle counter of 3, 7, 11,. Sent when the cycle ID of 55, 59, 63 is 99. The method of transmitting different frames with the same slot ID as described above is called cycle multiplexing. Further, as information of each frame, information of a transmission source ECU and information of a branch to which the transmission source ECU is connected are held.
 図では、スロットIDが1であり、Cycle offsetが0、Cycle receptionが1(つまり全てのサイクルで同一フレームが送信される。)のフレームはフレーム名がAであり、フレームAのペイロードには速度に関する情報が含まれ、送信元のECUは200c、であり、ブランチは100cであることを示している。スロットIDが2には、フレームが送信されないことを示している。スロットIDが3であり、Cycle offsetが0、Cycle receptionが2(つまりサイクルカウンタが偶数のときのみ送信される)のフレームはフレーム名がBであり、フレームBのペイロードにはハンドル角度に関する情報が含まれ、送信元ECUは200a、ブランチは100aであることを示している。スロットIDが98であり、Cycle offsetが1、Cycle receptionが2(つまりサイクルカウンタが奇数のときのみ送信される)のフレームはフレーム名がCであり、フレームCのペイロードにはギア状態に関する情報が含まれ、送信元ECUは200bで、ブランチは100bであることを示している。スロットIDが99であり、Cycle offsetが0、Cycle receptionが4のフレームはフレーム名がDであり、フレームDのペイロードにはカメラ情報1に関する情報が含まれ、送信元ECUは200dで、ブランチは100dであることを示している。スロットIDが99であり、Cycle offsetが1、Cycle receptionが4のフレームはフレーム名がEであり、フレームEのペイロードにはカメラ情報2に関する情報が含まれ、送信元ECUは200dで、ブランチは100dであることを示している。スロットIDが99であり、Cycle offsetが2、Cycle receptionが4のフレームはフレーム名がFであり、フレームFのペイロードにはカメラ情報3に関する情報が含まれ、送信元ECUが200dで、ブランチが100dであることを示している。スロットIDが99であり、Cycle offsetが3、Cycle receptionが4のフレームはフレーム名がGであり、フレームGのペイロードにはカメラ情報4に関する情報が含まれ、送信元ECUは200dで、ブランチが100dであることを示している。また、フレームAおよびBは静的セグメント内で送信される静的フレームであり、フレームCからフレームGは動的セグメント内で送信される動的フレームである。 In the figure, the frame whose slot ID is 1, the cycle @ offset is 0, and the cycle @ reception is 1 (that is, the same frame is transmitted in every cycle) has the frame name A, and the payload of the frame A has the speed , The source ECU is 200c, and the branch is 100c. A slot ID of 2 indicates that no frame is transmitted. A frame having a slot ID of 3, a cycle @ offset of 0, and a cycle @ reception of 2 (that is, transmitted only when the cycle counter is an even number) has a frame name B, and the payload of frame B contains information about the handle angle. This includes that the transmission source ECU is 200a and the branch is 100a. A frame whose slot ID is 98, whose Cycle @ offset is 1, and whose Cycle @ reception is 2 (that is, transmitted only when the cycle counter is an odd number) has a frame name C, and information about the gear state is included in the payload of the frame C. This indicates that the transmission source ECU is 200b and the branch is 100b. A frame with a slot ID of 99, a cycle @ offset of 0, and a cycle @ reception of 4 has a frame name of D, the payload of frame D contains information on camera information 1, the source ECU is 200d, and the branch is 100d. A frame having a slot ID of 99, a cycle @ offset of 1, and a cycle @ reception of 4 has a frame name of E, the payload of the frame E includes information on camera information 2, the transmission source ECU is 200d, and the branch is 100d. A frame having a slot ID of 99, a cycle of $ offset of 2, and a cycle of reception of 4 has a frame name of F, the payload of frame F includes information on camera information 3, the transmission source ECU is 200d, and the branch is 100d. A frame having a slot ID of 99, a cycle of $ offset of 3, and a cycle of $ reception of 4 has a frame name of G, the payload of frame G includes information on camera information 4, the transmission source ECU is 200d, and the branch is 100d. Frames A and B are static frames transmitted in the static segment, and frames C to G are dynamic frames transmitted in the dynamic segment.
 1.11 フレームルールの一例
 図11は、不正検知ECU310のフレームルール保持部315に格納される、フレームルールの一例を示した図である。図ではフレーム名ごとに受信ルールが設定されている。 1.11 Example of Frame Rule FIG. 11 is a diagram illustrating an example of the frame rule stored in the frame rule holding unit 315 of the fraud detection ECU 310. In the figure, a reception rule is set for each frame name.
 フレームAに関しては、ペイロード長は8で固定であり、受信ルールとしては前回受信した速度との差分が0.5km/h以上となった場合に不正なフレームを受信したと判断する。フレームBに関しては、ペイロード長は8で固定であり、受信ルールとしては前回受信したハンドル角度との差分が30度以上となった場合に不正なフレームを受信したと判断する。なお、不正検知ECU310は、受信したフレームが受信ルールに適合するかだけでなく、ペイロード長が正しいかを元に不正なフレームを判断してもよい。 For frame A, the payload length is fixed at 8, and as a reception rule, if the difference from the previously received speed is 0.5 km / h or more, it is determined that an invalid frame has been received. Regarding frame B, the payload length is fixed at 8, and as a reception rule, it is determined that an invalid frame has been received when the difference from the previously received handle angle is 30 degrees or more. It should be noted that the fraud detection ECU 310 may determine an invalid frame based not only on whether the received frame conforms to the reception rule but also on whether the payload length is correct.
 1.12 ブランチ異常度の一例
 図12は、不正検知ECU310のブランチ異常度保持部316に格納されるブランチ異常度の一例である。ブランチ異常度保持部316には各ブランチの異常度が保持されている。ブランチ異常度は、不正検知部312の結果に基づいて、不正なフレームを1つ受信するたびに該当ブランチの異常度が1ずつ増加していく。図では、ブランチ100aの異常度は0、ブランチ100bの異常度は0、ブランチ100cの異常度は0、ブランチ100dの異常度は20である例を示している。 1.12 Example of Branch Abnormality FIG. 12 shows an example of the branch abnormality stored in the branch abnormality degree holding unit 316 of the fraud detection ECU 310. The branch abnormality degree holding unit 316 stores the abnormality degree of each branch. Based on the result of the fraud detecting unit 312, the degree of abnormality of the branch increases by one each time one invalid frame is received. The figure shows an example in which the abnormality degree of the branch 100a is 0, the abnormality degree of the branch 100b is 0, the abnormality degree of the branch 100c is 0, and the abnormality degree of the branch 100d is 20.
 1.13 受信履歴の一例
 図13は、不正検知ECU310の受信履歴保持部317に格納される受信履歴の一例である。図では、各フレームの前回受信値と車両状態を保持している例を示している。図ではフレームごとに前回受信値と受信時刻(us)が保持されている。フレームAに含まれる速度の前回受信値は40.5km/hであり、前回の受信時刻が12100usであったことを示している。フレームBに含まれるハンドル角度の前回受信値は5度であり、前回受信時刻は8100であったことを示している。フレームCに含まれるギア状態はドライブ状態であり、前回受信時刻は12400usであったことを示している。フレームDに含まれるカメラ情報1の前回受信値は、前方車両の検知を示しており、前回の受信時刻は1440usであったことを示している。フレームEに含まれるカメラ情報2の前回受信値は歩行者検知を示しており、受信時刻は5480usであったことを示している。フレームFに含まれるカメラ情報3の前回受信値はレーン検知状態を示しており、受信時刻は9520usであったことを示している。フレームGに含まれるカメラ情報4の前回受信値は、後方のカメラが未起動であることを示しており、受信時刻は13560usであることを示している。車両状態は、不正検知部312が、フレームAの車両の速度が0km/hより大きい場合は、走行状態として受信履歴保持部317に格納されている車両状態を更新する。不正検知部312は、車両の速度が0km/hの場合は停止状態に車両状態を更新する。なお、本実施の形態では、受信時刻を保持しているが、受信時刻を保持しないでもよい。また、受信時刻をus単位で保持しているが、単位は何でもよい。例えばFlexRayプロトコルで用いる内部クロックから算出されるマイクロティック数を単位としてもよいし、マイクロティックによって定義されるマイクロティックの個数を単位としてもよい。 1.13 Example of Reception History FIG. 13 is an example of the reception history stored in the reception history holding unit 317 of the fraud detection ECU 310. The figure shows an example in which the last received value and the vehicle state of each frame are held. In the figure, the previous reception value and the reception time (us) are held for each frame. The previous reception value of the speed included in frame A is 40.5 km / h, indicating that the previous reception time was 12100 us. The previous reception value of the handle angle included in frame B is 5 degrees, indicating that the previous reception time was 8100. The gear state included in the frame C is the drive state, and indicates that the previous reception time was 12400 us. The previous reception value of the camera information 1 included in the frame D indicates detection of the preceding vehicle, and indicates that the previous reception time was 1440 us. The previous reception value of the camera information 2 included in the frame E indicates pedestrian detection, and indicates that the reception time was 5480 us. The previous reception value of the camera information 3 included in the frame F indicates the lane detection state, and indicates that the reception time was 9520 us. The previous reception value of the camera information 4 included in the frame G indicates that the rear camera has not been started, and indicates that the reception time is 13560 us. As for the vehicle state, when the speed of the vehicle in frame A is greater than 0 km / h, the fraud detection unit 312 updates the vehicle state stored in the reception history holding unit 317 as the traveling state. When the speed of the vehicle is 0 km / h, the fraud detection unit 312 updates the vehicle state to a stopped state. Although the reception time is held in the present embodiment, the reception time may not be held. Also, the reception time is held in units of us, but the unit may be any unit. For example, the number of micro ticks calculated from the internal clock used in the FlexRay protocol may be used as a unit, or the number of micro ticks defined by the micro tic may be used as a unit.
 1.14 セキュアスターカプラ処理フローチャート
 図14は、セキュアスターカプラ300の動作を表したフローチャートである。セキュアスターカプラ300は、いずれのブランチから信号を受信したかを判断する(S1001)。信号を受信した場合は、セキュアスターカプラ300は、現在の受信タイミングに対応するルーティングテーブルが存在するかを判断する。(S1002)。現在の受信タイミングに対応するルーティングテーブルが存在する場合は、セキュアスターカプラ300は、受信タイミングと信号を受信したブランチの対応が適切であるかを確認する(S1003)。現在の受信タイミングに対応するルーティングテーブルが存在しない場合は、セキュアスターカプラ300は、他のブランチから信号を受信中かを確認する(S1006)。 1.14 Secure Star Coupler Processing Flowchart FIG. 14 is a flowchart showing the operation of the secure star coupler 300. The secure star coupler 300 determines from which branch the signal has been received (S1001). When receiving the signal, the secure star coupler 300 determines whether a routing table corresponding to the current reception timing exists. (S1002). If there is a routing table corresponding to the current reception timing, the secure star coupler 300 checks whether the correspondence between the reception timing and the branch that has received the signal is appropriate (S1003). If there is no routing table corresponding to the current reception timing, the secure star coupler 300 checks whether a signal is being received from another branch (S1006).
 S1003にて、受信タイミングと信号を受信したブランチの対応が適切である場合は、セキュアスターカプラ300は、受信中の信号を、受信中のブランチ以外のブランチへ信号を転送する(S1004)。セキュアスターカプラ300は、その後受信した信号からフレームを解釈し、受信フレーム保持部に格納する(S1005)。受信タイミングと信号を受信したブランチの対応が適切でない場合は、セキュアスターカプラ300は、処理を終了する。 In S1003, if the correspondence between the reception timing and the branch that received the signal is appropriate, the secure star coupler 300 transfers the signal being received to a branch other than the branch being received (S1004). The secure star coupler 300 interprets the frame from the subsequently received signal and stores it in the received frame holding unit (S1005). If the correspondence between the reception timing and the branch that has received the signal is not appropriate, the secure star coupler 300 ends the process.
 S1006にて、現在信号を受信しているブランチ以外から既に信号を受信中でない場合は、セキュアスターカプラ300は、S1004以降の処理を実行する。他のブランチから、信号を受信中の場合は、セキュアスターカプラ300は、処理を終了する。 If it is determined in step S1006 that a signal is not already being received from a branch other than the branch that is currently receiving a signal, the secure star coupler 300 executes the processing from step S1004. If a signal is being received from another branch, the secure star coupler 300 ends the process.
 S1001にて、信号を受信していない場合は、セキュアスターカプラ300は、ECUから通知があったかを判断する(S1007)。通知を受けていない場合は、セキュアスターカプラ300は、S1001を実行する。通知を受けた場合は、セキュアスターカプラ300は、通知内容がフレームの送信要求であるかを判断する(S1008)。通知内容がフレームの送信要求である場合は、セキュアスターカプラ300は、フレームを全ブランチに送信して(S1009)、処理を終了する。通知内容がフレームの送信要求でない場合は、セキュアスターカプラ300は、通知内容がルーティングテーブルの更新・設定の反映要求であるとして、ルーティングテーブルを更新し、設定を反映させて(S1010)、処理を終了する。 If it is determined in step S1001 that the signal has not been received, the secure star coupler 300 determines whether a notification has been received from the ECU (S1007). If the notification has not been received, the secure star coupler 300 executes S1001. When receiving the notification, the secure star coupler 300 determines whether the notification content is a frame transmission request (S1008). If the notification content is a frame transmission request, the secure star coupler 300 transmits the frame to all branches (S1009), and ends the processing. If the notification content is not a request for transmitting a frame, the secure star coupler 300 determines that the notification content is a request for reflecting the update / setting of the routing table, updates the routing table, reflects the setting (S1010), and executes the process. finish.
 1.15 不正検知ECU310の動作
 図15は、不正検知ECU310の動作を表したフローチャートである。不正検知ECU310は、フレームを受信する(S1101)。不正検知ECU310は受信したフレームの受信ブランチが、フレーム情報に記載されている受信フレームのスロットIDと、受信ブランチと適合するかを確認する(S1102)。受信ブランチと適合する場合は、不正検知ECU310は、受信フレームに対応するフレームルールに適合するかを確認する(S1103)。フレームルールに適合する場合は、不正検知ECU310は、処理を終了する。 1.15 Operation of Fraud Detection ECU 310 FIG. 15 is a flowchart showing the operation of the fraud detection ECU 310. The fraud detection ECU 310 receives the frame (S1101). The fraud detection ECU 310 checks whether the reception branch of the received frame matches the slot ID of the reception frame described in the frame information and the reception branch (S1102). If it matches the reception branch, the fraud detection ECU 310 checks whether it matches the frame rule corresponding to the reception frame (S1103). If the frame rule is satisfied, the fraud detection ECU 310 ends the process.
 S1102、およびS1103にて、受信フレームと受信ブランチが適合しない、または受信フレームがフレームルールに適合しない場合は、不正検知ECU310は、受信ブランチの異常度を1増加させる(S1104)。その後、不正検知ECU310は、受信ブランチの異常度が所定の閾値以上であるかを判断する(S1105)。所定の閾値異常である場合は、当該ブランチによる不正なフレーム送信を抑制するために、不正検知ECU310は、セキュアスターカプラ300のルーティングテーブルの更新を行い(S1106)、終了する。 In steps S1102 and S1103, if the received frame and the received branch do not match, or if the received frame does not match the frame rule, the fraud detection ECU 310 increases the degree of abnormality of the receiving branch by one (S1104). Thereafter, the fraud detection ECU 310 determines whether the abnormality level of the receiving branch is equal to or greater than a predetermined threshold (S1105). If the predetermined threshold value is abnormal, the fraud detection ECU 310 updates the routing table of the secure star coupler 300 (S1106) to suppress illegal frame transmission by the branch, and ends the processing.
 (実施の形態2)
 2.システムの構成
 ここでは、本開示の実施の形態として、スター型トポロジの車載ネットワークを監視し、各フレームと、各フレームの送信元のブランチを示す情報とブラックリストを用いて、不正なフレームの送信を防止するセキュアスターカプラ1300と不正検知ECU1310について図面を参照しながら説明する。また実施の形態1と同様の機能を有する構成要素は同じ番号を付与し説明を省略する。 (Embodiment 2)
2. System Configuration Here, as an embodiment of the present disclosure, an in-vehicle network of a star topology is monitored, and transmission of an unauthorized frame is performed using information indicating each frame, a branch indicating a transmission source branch of each frame, and a blacklist. The secure star coupler 1300 and the fraud detection ECU 1310 for preventing the occurrence of a fraud will be described with reference to the drawings. Components having functions similar to those of the first embodiment are given the same numbers, and descriptions thereof are omitted.
 2.1 セキュアスターカプラ1300の構成図
 図16は、セキュアスターカプラ1300の構成図である。セキュアスターカプラ1300はトランシーバ部301a、301b、301c、301d、ルーティング部1302、ECUインターフェース部1303、受信フレーム保持部304、ルーティングテーブル保持部305、ブラックリスト保持部1306、ブランチ異常度保持部316、走行状態保持部1307と、から構成される。 2.1 Configuration of Secure Star Coupler 1300 FIG. 16 is a configuration of the secure star coupler 1300. The secure star coupler 1300 includes transceiver units 301a, 301b, 301c, and 301d, a routing unit 1302, an ECU interface unit 1303, a received frame holding unit 304, a routing table holding unit 305, a black list holding unit 1306, a branch abnormality degree holding unit 316, and a running. And a state holding unit 1307.
 ルーティング部1302は、トランシーバ部301aから通知されたデジタル信号を、トランシーバ部301aを除くトランシーバ部301b、301c、301d、へ転送する。同様にトランシーバ部301bからデジタル信号を通知された場合は、トランシーバ部301bを除く、トランシーバ部に対して、デジタル信号を通知する。また、受信中の信号と、どのブランチから信号を受信しているかの入力ブランチ情報をECUインターフェース部1303へ通知する。さらにルーティングテーブル保持部305に格納されているルーティングテーブルに基き、スロット番号と、受信ブランチ(トランシーバ部)の対応を設定でき、当該スロット番号のタイミングにおいては、設定された受信ブランチの信号を他のブランチへ転送する。設定されていない受信ブランチからの信号は無視され、他のブランチへ転送されない。スロット番号と、受信ブランチの対応が設定されていないタイミングにおいては、一番早く信号を受信したブランチからの信号を、他のブランチへ転送する。また信号の転送中も、転送中の信号をデコードし、ブラックリスト保持部1306に保持されているブラックリストに合致しているかを判断する。もし転送中の信号がブラックリストに合致し、かつブランチ異常度保持部に格納されているブランチ異常度と、走行状態保持部に格納されている走行状態を参照し、ブラックリストの有効条件を満たす場合に、転送中の信号を他のブランチへ転送することを停止する。これにより、不正なECUがルーティングテーブルに合致するブランチに存在した場合であっても、ペイロード値にしたがって不正な信号の転送を防止することが可能となる。また各ブランチの信号をデコードし、各ブランチにおいてプロトコル上のエラーが発生しているかを確認するエラー検知処理を行う。もしルーティングテーブルが有効なスロットにおいて、エラーが発生しているブランチが存在すれば、ブランチ異常度保持部316に格納されている対応するブランチの異常度を増加させる。これは、どのブランチから不正なフレーム送信が試行されているかを把握する目的で実行する。特定のスロットにおいてフレームを送信する正規ECUが存在するブランチとは異なるブランチに、当該スロットにて不正なフレームを送信しようとするECUが存在した場合に、セキュアスターカプラ1300において、ルーティングテーブルに合致しないブランチからの不正なフレームの送信は無視されるため、不正フレームの転送を防ぐことが可能であるが、これだけでは当該ブランチにて不正なフレームの発生したことを把握できない。正規のECUから送信されるフレームはルーティングテーブルに合致しているため、その他のブランチに転送されるが、このとき、不正なECUから送信されるフレームと、転送されたフレームが衝突を起こし、不正なECUが存在するブランチのみエラー状態となることを検知する。 The routing unit 1302 transfers the digital signal notified from the transceiver unit 301a to the transceiver units 301b, 301c, 301d excluding the transceiver unit 301a. Similarly, when the digital signal is notified from the transceiver unit 301b, the digital signal is notified to the transceiver units except the transceiver unit 301b. Also, it notifies the ECU interface unit 1303 of the signal being received and the input branch information indicating from which branch the signal is being received. Further, the correspondence between the slot number and the receiving branch (transceiver unit) can be set based on the routing table stored in the routing table holding unit 305. At the timing of the slot number, the signal of the set receiving branch is converted to another signal. Transfer to branch. Signals from the receiving branch that are not set are ignored and are not transferred to other branches. At the timing when the correspondence between the slot number and the reception branch is not set, the signal from the branch that received the signal first is transferred to another branch. In addition, even during the transfer of the signal, the signal being transferred is decoded, and it is determined whether or not the signal matches the blacklist held in the blacklist holding unit 1306. If the signal being transferred matches the blacklist, and the branch abnormality degree stored in the branch abnormality degree holding unit and the running state stored in the running state holding unit are referred to, the validity condition of the blacklist is satisfied. In such a case, the transfer of the signal being transferred to another branch is stopped. This makes it possible to prevent transfer of an illegal signal according to the payload value, even when an illegal ECU exists in a branch that matches the routing table. In addition, it decodes the signal of each branch and performs error detection processing for confirming whether an error in the protocol has occurred in each branch. If there is a branch in which an error has occurred in a slot in which the routing table is valid, the abnormality level of the corresponding branch stored in the branch abnormality degree storage unit 316 is increased. This is performed in order to know from which branch the illegal frame transmission is being attempted. If there is an ECU that attempts to transmit an incorrect frame in the slot in a branch different from the branch in which the legitimate ECU that transmits the frame in the specific slot exists, the secure star coupler 1300 does not match the routing table Since the transmission of the illegal frame from the branch is ignored, it is possible to prevent the transfer of the illegal frame. However, it is not possible to grasp that the illegal frame has occurred in the branch by this alone. The frame transmitted from the legitimate ECU matches the routing table and is forwarded to the other branch.At this time, the frame transmitted from the unauthorized ECU and the forwarded frame collide, and the illegal frame is transmitted. It is detected that only a branch in which an appropriate ECU exists is in an error state.
 ECUインターフェース部1303は、ルーティング部1302より通知される受信した信号と、入力ブランチ情報を通知されると、受信した信号を解釈し、受信フレームに変換し、受信フレーム保持部304に、入力ブランチ情報とともに保存する。不正検知ECU310の要求に従って、受信フレーム保持部304に格納されている、受信フレームの情報と入力ブランチ情報を通知する。さらにルーティングテーブル保持部305に格納されている、各スロットにおける受信するブランチのテーブルの書き換えや、ブラックリスト保持部に格納されているブラックリストの更新、ブランチ異常度保持部316に保持されているブランチ異常度の更新、走行状態保持部1307に格納されている走行状態の更新を行う。 When notified of the received signal notified by the routing unit 1302 and the input branch information, the ECU interface unit 1303 interprets the received signal, converts the received signal into a received frame, and sends the received frame information to the received frame holding unit 304. Save with. According to the request of the fraud detection ECU 310, the information of the received frame and the input branch information stored in the received frame holding unit 304 are notified. Further, the table of the branch received in each slot stored in the routing table holding unit 305 is rewritten, the blacklist stored in the blacklist holding unit is updated, and the branch held in the branch abnormality degree holding unit 316 is stored. The degree of abnormality is updated, and the running state stored in the running state holding unit 1307 is updated.
 ブラックリスト保持部1306は、ルーティング部1302が参照し、転送中の信号の転送を停止させるためのブラックリストを格納している。図18にブラックリスト保持部1306が保持するブラックリストの一例を示し、詳細は後述する。 The blacklist holding unit 1306 refers to the routing unit 1302 and stores a blacklist for stopping the transfer of a signal being transferred. FIG. 18 shows an example of a blacklist held by the blacklist holding unit 1306, which will be described later in detail.
 走行状態保持部1307は、ブラックリスト保持部1306に格納されるブラックリストを有効化するための条件に用いられる。図19に走行状態保持部1307が保持する走行状態の一例を示す、図では、走行状態は走行中であることを示している。 The driving state holding unit 1307 is used as a condition for validating the blacklist stored in the blacklist holding unit 1306. FIG. 19 shows an example of the traveling state held by the traveling state holding unit 1307. In the drawing, the traveling state indicates that the vehicle is traveling.
 2.2 不正検知ECU1310の構成図
 図17は、不正検知ECU1310の構成図である。不正検知ECU1310は、スターカプラ通信制御部1311と、不正検知部1312と、フレーム生成部313と、通信用設定パラメータ保持部205と、フレーム情報保持部314と、フレームルール保持部315と、受信履歴保持部317とから構成される。 2.2 Configuration Diagram of Fraud Detection ECU 1310 FIG. 17 is a configuration diagram of the fraud detection ECU 1310. The fraud detection ECU 1310 includes a star coupler communication control unit 1311, a fraud detection unit 1312, a frame generation unit 313, a communication setting parameter storage unit 205, a frame information storage unit 314, a frame rule storage unit 315, a reception history And a holding unit 317.
 スターカプラ通信制御部1311は、セキュアスターカプラ1300との通信インターフェースであり、通信用設定パラメータ保持部205に格納されている、通信用設定パラメータに基づいて、セキュアスターカプラ1300の設定を行う。セキュアスターカプラ1300の設定には、スロットと受信ブランチの関係を示したテーブルに基づくルーティングテーブルに関する情報やブラックリストも含まれる。さらに、受信したフレームに基づいて決定される車両の走行状態の更新通知や、ブランチ異常度の増加に関する通知を行う。また、セキュアスターカプラ1300が受信したフレームに関する情報を受信し、不正検知部1312へ通知する。フレーム生成部313からフレームの送信を要求されると、送信フレームの内容を、セキュアスターカプラ1300へ通知する。 The star coupler communication control unit 1311 is a communication interface with the secure star coupler 1300, and sets the secure star coupler 1300 based on the communication setting parameters stored in the communication setting parameter holding unit 205. The settings of the secure star coupler 1300 also include information on a routing table based on a table indicating the relationship between slots and reception branches and a blacklist. Furthermore, the update notification of the traveling state of the vehicle determined based on the received frame and the notification regarding the increase in the degree of branch abnormality are performed. Further, it receives information on the frame received by the secure star coupler 1300 and notifies the fraud detecting unit 1312 of the information. When frame transmission is requested from the frame generation unit 313, the content of the transmission frame is notified to the secure star coupler 1300.
 不正検知部1312は、スターカプラ通信制御部1311から、受信したフレームに関わる情報を通知され、受信したフレームが、正常なフレームであるかを判断する。正常フレームであるかの判断は、フレーム情報保持部314に格納されているIDと受信ブランチテーブルを参照することで、受信したフレームのIDと、受信ブランチの対応が正しいかを確認し、受信したフレームと受信ブランチの対応が正しい場合は、フレームルール保持部315に格納されているIDごとのルールと、受信履歴保持部317に保持されている受信履歴を参照し、不正なフレームが送信されているかを判断する。不正なフレームが送信されていると判断された場合は、他のECUに不正なフレームが送信されていることを通知するために、フレーム生成部313に通知を行うと共に、不正なフレームの送信を行ったブランチが異常であることをスターカプラ通信制御部1311に通知する。また、不正検知部1312は、不正なフレームの送信元であるブランチから、他のブランチへ不正なフレームが転送されることを防ぐために、セキュアスターカプラ1300のルーティングテーブル保持部305に格納されている、スロットと、入力ブランチの対応関係を表したテーブルの書き換えを通知する。 (4) The fraud detecting unit 1312 is notified of information about the received frame from the star coupler communication control unit 1311 and determines whether the received frame is a normal frame. The determination as to whether the frame is a normal frame is made by referring to the ID and the reception branch table stored in the frame information holding unit 314, and confirming whether the correspondence between the ID of the received frame and the reception branch is correct. If the correspondence between the frame and the reception branch is correct, an invalid frame is transmitted by referring to the rule for each ID stored in the frame rule storage 315 and the reception history stored in the reception history storage 317. To determine If it is determined that an invalid frame has been transmitted, a notification is sent to the frame generation unit 313 to notify other ECUs that the invalid frame is being transmitted, and the transmission of the invalid frame is performed. It notifies the star coupler communication control unit 1311 that the executed branch is abnormal. Further, the fraud detecting unit 1312 is stored in the routing table holding unit 305 of the secure star coupler 1300 in order to prevent a fraudulent frame from being transferred from a branch that is a source of a fraudulent frame to another branch. , The slot and the input branch are notified of the rewriting of the table.
 2.3 ブラックリストの一例
 図18は、ブラックリスト保持部1306に格納されるブラックリストの一例である。図では、スロットID、Cycle offset、Cycle receptionの組みで定義されるフレームごとに入力ブランチ、ブラックリスト、ブラックリスト作動条件が保持されている。スロットIDが20でCycle offsetが3、Cycle receptionが4のフレームは、入力ブランチが100d、ブラックリストは**5* …、ブラックリストの作動条件は、走行状態が走行中であり、かつブランチ異常度が30より大きい場合であることが示されている。ここでブラックリストの*はドントケアを意味し、上位2バイト目の上位4ビットが5であるペイロードを受信した場合にブラックリストに合致することを示している。同様にスロットIDが10、Cycle offsetが0、Cycle receptionが2、入力ブランチが100a、ブラックリストがFF 11 ** …、ブラックリスト作動条件はブラックリストに合致する場合は常に作動することを示している。 2.3 Example of Black List FIG. 18 is an example of a black list stored in the black list holding unit 1306. In the figure, an input branch, a blacklist, and a blacklist operation condition are held for each frame defined by a combination of a slot ID, a cycle offset, and a cycle reception. A frame with a slot ID of 20, a cycle offset of 3, and a cycle reception of 4 has an input branch of 100d, a blacklist of ** 5 *..., And the blacklist operating conditions are that the running state is running and the branch is abnormal. It is shown that the degree is greater than 30. Here, * in the black list means don't care, and indicates that when a payload in which the upper 4 bits of the upper 2 bytes are 5 is received, it matches the black list. Similarly, the slot ID is 10, the cycle offset is 0, the cycle reception is 2, the input branch is 100a, the blacklist is FF 11 **..., And the blacklist operation condition is that it always operates when it matches the blacklist. I have.
 2.4 セキュアスターカプラの処理フローチャート
 図20はセキュアスターカプラ1300のフレーム受信時の処理フローチャートである。セキュアスターカプラ1300は、フレームの受信を開始する(S2001)。セキュアスターカプラ1300は、現在のスロットに対応するルーティングテーブルが存在するかを確認する(S2002)。対応するルーティングテーブルが存在する場合は、セキュアスターカプラ1300は、S2003を実行する。そうでない場合は、セキュアスターカプラ1300は、S2011を実行する。 2.4 Processing Flowchart of Secure Star Coupler FIG. 20 is a processing flowchart of the secure star coupler 1300 when receiving a frame. The secure star coupler 1300 starts receiving a frame (S2001). The secure star coupler 1300 checks whether a routing table corresponding to the current slot exists (S2002). If a corresponding routing table exists, the secure star coupler 1300 executes S2003. Otherwise, the secure star coupler 1300 executes S2011.
 セキュアスターカプラ1300は、S2003では、現在受信中のフレームと、受信ブランチの関係がルーティングテーブルに合致しているかを確認する。ルーティングテーブルに合致している場合は、セキュアスターカプラ1300は、他のブランチへ、受信している信号を転送するルーティングを開始する(S2004)。そうでない場合は、セキュアスターカプラ1300は、受信ブランチの異常度をインクリメントし(S2008)て、終了する。 In step S2003, the secure star coupler 1300 checks whether the relationship between the frame currently being received and the receiving branch matches the routing table. If it matches the routing table, the secure star coupler 1300 starts routing for transferring the received signal to another branch (S2004). Otherwise, the secure star coupler 1300 increments the abnormality level of the reception branch (S2008) and ends the processing.
 セキュアスターカプラ1300は、ルーティング中(S2004の後)に、転送している信号のデコードを行い、自身が保持しているブラックリストに合致しているかの確認を行う(S2005)。ブラックリストに一致した場合は、セキュアスターカプラ1300は、ルーティングを停止し(S2009)、処理を終了する。ブラックリストに一致しない場合は、セキュアスターカプラ1300は、全ての信号を転送する(S2006)。 The secure star coupler 1300 decodes the signal being transferred during routing (after S2004), and checks whether the signal matches the blacklist held by itself (S2005). If it matches the blacklist, the secure star coupler 1300 stops the routing (S2009) and ends the processing. If they do not match the blacklist, the secure star coupler 1300 transfers all signals (S2006).
 セキュアスターカプラ1300はS2006の後に、各ブランチのエラー発生状況を確認し(S2007)、全てのブランチでエラーが無ければ正常に転送が完了したとして処理を終了する。もしエラーの発生したブランチが存在した場合は、セキュアスターカプラ1300は、不正なフレームの送信がなされていた可能性があるとして、エラーが発生したブランチの異常度をインクリメントし(S2010)、処理を終了する。 (4) After S2006, the secure star coupler 1300 checks the error occurrence status of each branch (S2007), and if there is no error in all branches, ends the processing assuming that the transfer is normally completed. If there is an erroneous branch, the secure star coupler 1300 determines that there is a possibility that an illegal frame has been transmitted, and increments the abnormality degree of the erroneous branch (S2010). finish.
 セキュアスターカプラ1300は、S2011では、現在他のブランチから受信した信号を転送中でないかを確認する。ルーティング中でない場合はS2004を実行する。ルーティング中である場合は、セキュアスターカプラ1300は、受信信号を無視し、処理を終了する。 (4) In S2011, the secure star coupler 1300 checks whether a signal received from another branch is currently being transferred. If routing is not being performed, S2004 is executed. If routing is being performed, secure star coupler 1300 ignores the received signal and ends the process.
 2.5 不正検知ECUのフレーム受信時の処理フローチャート
 図21は、不正検知ECU1310のフレーム受信時の処理フローチャートである。 2.5 Processing Flowchart of Fraud Detection ECU at the Time of Receiving Frame FIG.
 不正検知ECU1310は、フレーム受信の通知を、セキュアスターカプラ1300から受けると、受信したフレームに関するペイロード情報や、受信ブランチに関する情報を取得し(S2101)、フレーム情報保持部314に格納されているフレーム情報を参照し、受信フレームと、受信ブランチの対応が適切であるかを判定する(S2102)。対応が適切である場合は、不正検知ECU1310は、S2103を実行する。対応が適切でない場合は、不正検知ECU1310は、対応するブランチの異常度を増加させるようにセキュアスターカプラ1300へ通知を行い(S2106)、処理を終了する。 Upon receiving the notification of frame reception from the secure star coupler 1300, the fraud detection ECU 1310 acquires payload information on the received frame and information on the reception branch (S2101), and stores the frame information stored in the frame information holding unit 314. , It is determined whether the correspondence between the received frame and the received branch is appropriate (S2102). If the response is appropriate, the fraud detection ECU 1310 executes S2103. If the response is not appropriate, the fraud detection ECU 1310 notifies the secure star coupler 1300 to increase the degree of abnormality of the corresponding branch (S2106), and ends the process.
 S2103では、不正検知ECU1310は、フレームルール保持部315に格納されているフレームルールを参照し、受信したフレームがフレームルールに適合するかを確認する。フレームルールに適合する場合は、不正検知ECU1310は、正規のフレームを受信したとして、受信履歴保持部317に格納されている受信履歴を更新し(S2104)、走行状態の更新通知をセキュアスターカプラ1300に行い(S2105)、処理を終了する。フレームルールに適合しない場合は、不正なフレームを受信したとして、不正検知ECU1310は、受信ブランチの異常度を増加させるようにセキュアスターカプラ1300へ通知を行い(S2106)、処理を終了する。 In S2103, the fraud detection ECU 1310 refers to the frame rule stored in the frame rule holding unit 315, and checks whether the received frame conforms to the frame rule. If the frame rule is satisfied, the fraud detection ECU 1310 determines that the legitimate frame has been received, updates the reception history stored in the reception history holding unit 317 (S2104), and notifies the secure star coupler 1300 of the running state update notification. (S2105), and the process ends. If the frame rule is not satisfied, it is determined that an invalid frame has been received, and the fraud detection ECU 1310 notifies the secure star coupler 1300 to increase the degree of abnormality of the receiving branch (S2106), and ends the processing.
 3. その他変形例
 なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。 3. Other Modifications Although the present disclosure has been described based on the above embodiments, the present disclosure is, of course, not limited to the above embodiments. The following cases are also included in the present disclosure.
 (1)上記の実施の形態では、スター型のネットワークトポロジにおける例を示しているがネットワークトポロジを限るものではない。例えば、バス型とスター型のハイブリッドなどのネットワークトポロジを取りうる。 (1) In the above embodiment, an example in a star network topology is shown, but the network topology is not limited. For example, a network topology such as a bus-type hybrid or a star-type hybrid can be adopted.
 (2)上記の実施の形態では、セキュアスターカプラと不正検知ECUを分けて記載したが、不正検知ECUにセキュアスターカプラが内蔵されて実現されていてもよい。これにより部品点数の削減につながり効果的である。 (2) In the above embodiment, the secure star coupler and the fraud detection ECU are described separately. However, the secure star coupler may be built in the fraud detection ECU. This is effective in reducing the number of parts.
 (3)上記の実施の形態では、セキュアスターカプラと不正検知ECUが通信を行っていたが、不正検知ECUは必須の構成要素ではない。例えば予めルーティングテーブル保持部や、通信用設定パラメータ保持部の内容を埋め込んでおき、必要最小限の機能のみを実現してもよい。これにより、ECU数を削減でき、コスト低下につながり効果的である。 (3) In the above embodiment, the secure star coupler communicates with the fraud detecting ECU, but the fraud detecting ECU is not an essential component. For example, the contents of the routing table storage unit and the communication setting parameter storage unit may be embedded in advance to realize only the minimum necessary functions. As a result, the number of ECUs can be reduced, which leads to cost reduction and is effective.
 (4)上記の実施の形態では、不正なフレームを検出して終了しているが、不正なフレームを検出したとき対応はこれに限らない。例えば不正なフレームに関する、不正なフレームを送信したブランチ情報や、ヘッダ情報、ペイロード値、受信時刻等をログとして保存しておいてもよいし、他のECUに不正なフレームの通知を行ってもよいし、外部のサーバへ当該車両の不正発生を通知してもよいし、運転者へ車載ネットワークに不正が発生したことを通知してもよい。 (4) In the above embodiment, the process is terminated after detecting an invalid frame. However, the response when an invalid frame is detected is not limited to this. For example, regarding the invalid frame, the branch information, the header information, the payload value, the reception time, etc., which transmitted the invalid frame may be stored as a log, or the other ECU may be notified of the invalid frame. Alternatively, an external server may be notified that the vehicle has been fraudulent, or the driver may be notified that the vehicle's in-vehicle network has been fraudulent.
 (5)上記の実施の形態では、フレーム情報、フレームルールを平文で保持していたが、暗号化して保持していてもよい。 (5) In the above embodiment, the frame information and the frame rule are stored in plain text, but may be stored after being encrypted.
 (6)上記の実施の形態では、ブランチごとに異常度を保持していたが、フレームごとに異常度を保持していてもよい。これにより、異常度の高いフレームのみを遮断することが可能となり、車両への影響を抑えることができ効果的である。 (6) In the above embodiment, the abnormality level is held for each branch, but the abnormality level may be held for each frame. As a result, it is possible to cut off only the frame having a high degree of abnormality, and it is possible to suppress the influence on the vehicle, which is effective.
 (7)上記の実施の形態では、フレームルール保持部に格納される受信ルールは、各フレーム1つであったが、1つ以上あってもよい。また受信ルールが存在しなくてもよい。これにより、フレームの重要度に応じた、チェックが可能となり、車載ネットワークの安全性を高めることに効果的である。 (7) In the above embodiment, the number of reception rules stored in the frame rule holding unit is one for each frame, but there may be one or more reception rules. In addition, a reception rule may not exist. This makes it possible to check according to the importance of the frame, which is effective in improving the security of the vehicle-mounted network.
 (8)上記の実施の形態では、フレームルール保持部に格納される受信ルールは、動的フレームに関して設定されていなかったが、フレームルールが設定されていてもよい。例えば、前回値との変化量に関するルールを設定してもよい。 (8) In the above embodiment, the reception rule stored in the frame rule holding unit is not set for a dynamic frame, but a frame rule may be set. For example, a rule regarding the amount of change from the previous value may be set.
 (9)上記の実施の形態では、セキュアスターカプラは不正検知ECUからフレームの送信要求を受け、他ブランチにフレームを送信可能であったが、送信不可であってもよい。これによりセキュアスターカプラの機能削減ができ、コスト削減につながり効果的である。 (9) In the above embodiment, the secure star coupler has received the frame transmission request from the fraud detection ECU and has been able to transmit the frame to another branch. However, the transmission may not be possible. Thereby, the function of the secure star coupler can be reduced, which leads to cost reduction and is effective.
 (10)上記の実施の形態では、フレーム情報保持部に格納されるフレーム情報にフレーム名を保持していたが、フレーム名は保持していなくてもよい。 (10) In the above embodiment, the frame name is held in the frame information stored in the frame information holding unit. However, the frame name may not be held.
 (11)上記の実施の形態では、フレーム情報保持部に格納されるフレーム情報について、1つのフレームに対して、1つのペイロード情報が保持されていたが、1つ以上保持されていてもよく、ペイロード情報が無くてもよい。またペイロード情報として、速度などの各信号のペイロード上のフィールドを示す情報(フィールドの位置、長さ、単位等)が含まれていてもよい。 (11) In the above embodiment, one piece of payload information is held for one frame with respect to the frame information stored in the frame information holding unit. However, one or more pieces of payload information may be held. There may be no payload information. The payload information may include information indicating a field on the payload of each signal such as speed (field position, length, unit, etc.).
 (12)上記の実施の形態では、受信履歴の前回受信値をフレーム名ごとに1信号だけ保持していたが、複数信号保持していてもよいし、ペイロード値をそのまま保持していてもよい。 (12) In the above embodiment, only one signal of the previous reception value of the reception history is stored for each frame name. However, a plurality of signals may be stored, or the payload value may be stored as it is. .
 (13)上記の実施の形態では、受信履歴に含まれる車両状態は、走行中か停止中の2状態のみであったが、車両状態はこの2状態に限らない。例えば、イグニッションオン状態、アクセサリーオン状態、低速走行状態、高速走行状態、ハンドル操舵状態、ギア状態、やこれらを組み合わせた状態を取りうる。 (13) In the above embodiment, the vehicle history included in the reception history is only the two states of running or stopped, but the vehicle state is not limited to these two states. For example, an ignition-on state, an accessory-on state, a low-speed running state, a high-speed running state, a steering wheel steering state, a gear state, or a state in which these are combined can be taken.
 (14)上記の実施の形態2では、ブラックリストを予め保持している例を示したが、ブラックリストを、動的に更新するようにしてもよい。例えば、不正検知ECUが不正なフレームとして検知したペイロード値を保持しておき、同じID、Cycle reception、Cycle offsetのフレームにて所定数以上の不正フレームを検知したときに、不正フレームのペイロード値が一致するフィールドをブラックリストとして更新するようにしてもよい。これにより予めブラックリストに登録されていない不正なフレームのルーティングを防止できるようになり、安全性向上につながり効果的である。 (14) In the above-described second embodiment, an example in which the blacklist is held in advance has been described, but the blacklist may be dynamically updated. For example, when the fraud detection ECU holds a payload value detected as a fraudulent frame and detects a predetermined number or more fraudulent frames in a frame of the same ID, cycle reception, and cycle offset, the payload value of the fraudulent frame is changed. A matching field may be updated as a blacklist. This makes it possible to prevent the routing of an unauthorized frame that is not registered in the blacklist in advance, which leads to an improvement in security and is effective.
 (15)上記の実施の形態2では、ルーティング部にエラー検出の機構を設けていたが、エラー検出の機構はルーティング部(セキュアスターカプラ)内に無くてもよい。例えばセキュアスターカプラに接続する不正検知ECUが任意の2ブランチの信号を受信可能なようにすることで、不正検知ECU内に持つデコーダ部でエラーの検出を行っても良い。 (15) In the second embodiment, the error detection mechanism is provided in the routing unit. However, the error detection mechanism may not be provided in the routing unit (secure star coupler). For example, the error detection ECU connected to the secure star coupler may receive an arbitrary two-branch signal so that the error detection may be performed by the decoder unit included in the error detection ECU.
 (16)上記の実施の形態2では、ブラックリストに合致する信号の転送を停止していたが、信号の転送を停止する以外の処理を行っても良い。例えば、フレームに含まれるCRCの値を書き換えるなどしてもよい。転送中の信号が他のECUに有効なフレームとして認識され処理されないような、対処方法であればなんでもよい。 (16) In the above-described second embodiment, the transfer of the signal matching the blacklist is stopped, but processing other than stopping the transfer of the signal may be performed. For example, the CRC value included in the frame may be rewritten. Any measures can be taken as long as the signals being transferred are not recognized and processed by other ECUs as valid frames.
 (17)上記の実施の形態2では、ブラックリストに合致する、信号の転送を停止していたが、ホワイトリストに合致しない信号の転送を停止してもよい。 (17) In the above-described second embodiment, the transfer of signals that match the blacklist is stopped. However, the transfer of signals that do not match the whitelist may be stopped.
 (18)上記の実施の形態2では、車両走行状態および、ブランチ異常度は、ブラックリストの有効化条件に用いられていたが、ルーティングルールの有効化条件に用いてもよい。これにより不正なECUの存在するブランチからのフレーム送信を無効化でき効果的である。 (18) In the above-described second embodiment, the vehicle running state and the degree of branch abnormality are used for the activation condition of the blacklist, but may be used for the activation condition of the routing rule. As a result, frame transmission from the branch where the unauthorized ECU exists can be invalidated, which is effective.
 (19)上記の実施の形態2では、走行状態保持部に、車両の走行状態を保持しているが走行状態でなくてもよい。例えばECUから通知されるフラグ信号であってもよい。これによりフラグ信号に応じて、ブラックリストの有効化が可能となり、より柔軟な対応が可能となる。 (19) In the above-described second embodiment, the traveling state of the vehicle is held in the traveling state holding unit, but the traveling state may not be in the traveling state. For example, a flag signal notified from the ECU may be used. Thereby, the blacklist can be validated according to the flag signal, and more flexible response is possible.
 (20)上記の実施の形態では、車載ネットワークとしてFlexRayプロトコルを用いていたが、これに限るものではない。例えば、CAN、CAN-FD(CAN with Frexible Data Rate)、Ethernet、LIN(Local Interconnect Network)、MOST(Media Oriented Systems Transport)などを用いてもよい。あるいはこれらのネットワークをサブネットワークとして、組み合わせたネットワークであってもよい。特にタイムトリガー方式を採用しているネットワークに対して有効である。 (20) In the above embodiment, the FlexRay protocol was used as the in-vehicle network, but the present invention is not limited to this. For example, CAN, CAN-FD (CAN with Flexible Data Rate), Ethernet, LIN (Local Interconnect Network), MOST (Media Oriented Systems Transport), or the like may be used. Alternatively, a network in which these networks are combined as a sub-network may be used. This is particularly effective for a network employing a time trigger method.
 (21)上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。 (21) Each device in the above embodiment is, specifically, a computer system including a microprocessor, a ROM, a RAM, a hard disk unit, a display unit, a keyboard, a mouse, and the like. A computer program is recorded in the RAM or the hard disk unit. Each device achieves its function by the microprocessor operating according to the computer program. Here, the computer program is configured by combining a plurality of instruction codes indicating instructions to the computer in order to achieve a predetermined function.
 (22)上記の実施の形態における各装置は、構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。 (22) Each or all of the constituent elements of each device in the above embodiment may be configured by one system LSI (Large Scale Integration). The system LSI is an ultra-multifunctional LSI manufactured by integrating a plurality of components on one chip, and is specifically a computer system including a microprocessor, a ROM, a RAM, and the like. . The RAM stores a computer program. When the microprocessor operates according to the computer program, the system LSI achieves its function.
 また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又はすべてを含むように1チップ化されてもよい。 Each part of the constituent elements constituting each device described above may be individually formed into one chip, or may be formed into one chip so as to include a part or all.
 また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。 と し た Although the term LSI is used here, it may also be called IC, LSI, super LSI, or ultra LSI depending on the degree of integration. Further, the method of circuit integration is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor. After manufacturing the LSI, a programmable FPGA (Field Programmable Gate Array) or a reconfigurable processor capable of reconfiguring connection and setting of circuit cells inside the LSI may be used.
 さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。 (4) Further, if an integrated circuit technology that replaces the LSI appears due to the advancement of the semiconductor technology or another derivative technology, the functional blocks may be naturally integrated using the technology. Application of biotechnology, etc. is possible.
 (23)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。ICカードまたはモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。 (23) A part or all of the constituent elements of each device described above may be constituted by an IC card detachable to each device or a single module. The IC card or the module is a computer system including a microprocessor, a ROM, a RAM, and the like. The IC card or the module may include the above-mentioned super multifunctional LSI. The IC card or the module achieves its function by the microprocessor operating according to the computer program. The IC card or the module may have tamper resistance.
 (24)本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。 (24) The present disclosure may be the methods described above. Further, these methods may be a computer program that is realized by a computer, or may be a digital signal composed of a computer program.
 また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。 The present disclosure also relates to a computer-readable recording medium capable of reading a computer program or a digital signal, for example, a flexible disk, a hard disk, a CD-ROM, an MO, a DVD, a DVD-ROM, a DVD-RAM, a BD (Blu-ray (registered trademark) ) Disc), and may be recorded in a semiconductor memory or the like. Further, it may be a digital signal recorded on these recording media.
 また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。 In addition, the present disclosure may transmit a computer program or a digital signal via an electric communication line, a wireless or wired communication line, a network represented by the Internet, a data broadcast, or the like.
 また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。 Also, the present disclosure may be a computer system including a microprocessor and a memory, wherein the memory records the computer program, and the microprocessor may operate according to the computer program.
 また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号をネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。 Alternatively, the program or digital signal may be recorded on a recording medium and transferred, or the program or digital signal may be transferred via a network or the like, so as to be implemented by another independent computer system.
 (25)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。 (25) The above embodiment and the above modified examples may be combined.
 本開示は、車載ネットワークに流れるフレームを観測し、不正なフレームの送信箇所を把握し、対処することで、安全な車載ネットワークシステムを提供する。これにより車載ネットワークシステム全体として、安全な状態を維持することができる。 (4) The present disclosure provides a secure in-vehicle network system by observing a frame flowing in the in-vehicle network, grasping a transmission position of an illegal frame, and taking measures. As a result, a secure state can be maintained for the entire in-vehicle network system.
 10 車載ネットワークシステム
 100a、100b、100c、100d バス
 200a、200b、200c、200d ECU
 201 フレーム送受信部
 202 フレーム解釈部
 203 外部機器制御部
 204 フレーム生成部
 205 通信用設定パラメータ保持部
 210 ハンドル
 220 ギア
 230 ブレーキ
 240 カメラ
 300、1300 セキュアスターカプラ
 301a、301b、301c、301d トランシーバ部
 302、1302 ルーティング部
 303、1303 ECUインターフェース部
 304 受信フレーム保持部
 305 ルーティングテーブル保持部
 310、1310 不正検知ECU
 311、1311 スターカプラ通信制御部
 312、1312 不正検知部
 313 フレーム生成部
 314 フレーム情報保持部
 315 フレームルール保持部
 316 ブランチ異常度保持部
 317 受信履歴保持部
 1306 ブラックリスト保持部
 1307 走行状態保持部 10 In- vehicle network system 100a, 100b, 100c, 100d Bus 200a, 200b, 200c, 200d ECU
Reference Signs List 201 frame transmission / reception unit 202 frame interpretation unit 203 external device control unit 204 frame generation unit 205 communication setting parameter holding unit 210 handle 220 gear 230 brake 240 camera 300, 1300 secure star coupler 301a, 301b, 301c, 301d transceiver unit 302, 1302 Routing unit 303, 1303 ECU interface unit 304 Received frame holding unit 305 Routing table holding unit 310, 1310 Fraud detection ECU
311, 1311 Star coupler communication control unit 312, 1312 Fraud detection unit 313 Frame generation unit 314 Frame information storage unit 315 Frame rule storage unit 316 Branch abnormality degree storage unit 317 Reception history storage unit 1306 Black list storage unit 1307 Running state storage unit

Claims (7)

  1.  タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおけるセキュアスターカプラであって、前記車載ネットワークには、1以上の電子制御装置と1つの車載ネットワークバスから構成される複数のブランチが、セキュアスターカプラを通じて接続され、前記電子制御装置は所定のタイムスロット内でフレームを送受信し、
     前記セキュアスターカプラは、ブランチ数に対応する複数のトランシーバ部と、ルーティング部と、ルーティングルール保持部とから構成され、
     前記トランシーバ部は、いずれかのブランチに接続されており、接続されているブランチのバスの物理信号をデジタル信号へ変換し、前記ルーティング部へ通知する受信部と、前記ルーティング部から受信したデジタル信号を物理信号へ変換し、前記バスへ送信する、送信部と、を備え、
     前記ルーティング部は、非転送条件に合致する場合を除き、第1のブランチに接続される第1のトランシーバ部から受信したデジタル信号を、前記第1のトランシーバ部以外の複数のトランシーバ部へ転送し、
     前記非転送条件は、前記ルーティングルール保持部に記載されている所定の条件に合致しない場合と、既に第1のブランチ接続される第1のトランシーバ部以外の第2のトランシーバ部からデジタル信号を受信し、前記第2のトランシーバ部以外のトランシーバ部へデジタル信号を転送している場合であり、
     前記ルーティングルール保持部は、タイムスロットと受信すべきブランチまたはトランシーバ部の識別子の対応を示したルールを保持する、
     ことを特徴とするセキュアスターカプラ。     A secure star coupler in a vehicle-mounted network that is a time-trigger-based communication system based on a time slot, wherein the vehicle-mounted network includes a plurality of branches including one or more electronic control units and one vehicle-mounted network bus. Connected through a star coupler, the electronic control unit transmits and receives frames within a predetermined time slot,
    The secure star coupler includes a plurality of transceiver units corresponding to the number of branches, a routing unit, and a routing rule holding unit,
    The transceiver unit is connected to one of the branches, converts a physical signal of a bus of the connected branch into a digital signal, and notifies the routing unit of the received signal, and a digital signal received from the routing unit. To a physical signal, and transmits to the bus, a transmission unit,
    The routing unit transfers the digital signal received from the first transceiver unit connected to the first branch to a plurality of transceiver units other than the first transceiver unit, unless a non-transfer condition is met. ,
    When the non-transfer condition does not satisfy a predetermined condition described in the routing rule holding unit, and when a digital signal is received from a second transceiver unit other than the first transceiver unit already connected to the first branch, And transmitting digital signals to transceiver units other than the second transceiver unit.
    The routing rule holding unit holds a rule indicating a correspondence between a time slot and an identifier of a branch or a transceiver unit to be received,
    A secure star coupler, characterized in that:
  2.  前記セキュアスターカプラは、さらに、ブランチ異常度保持部を備え、
     前記ブランチ異常度保持部は、ブランチごとの異常度を保持し、
     前記異常度は、前記ルーティングルール保持部に保持される、ルールに合致しないタイミングで第3のトランシーバ部からデジタル信号を受信した場合に、前記第3のトランシーバ部に対応するブランチの異常度を増加させ、
     前記非転送条件は、加えて、デジタル信号を受信したトランシーバ部に対応する、ブランチ異常度に保持される対応する異常度が所定の値以上の場合である、
     ことを特徴とする、請求項1記載のセキュアスターカプラ。     The secure star coupler further includes a branch abnormality degree holding unit,
    The branch abnormality degree holding unit holds an abnormality degree for each branch,
    The degree of abnormality increases the degree of abnormality of the branch corresponding to the third transceiver unit when a digital signal received from the third transceiver unit at a timing that does not match a rule is stored in the routing rule storage unit. Let
    The non-transfer condition, in addition, corresponds to the transceiver unit that has received the digital signal, the case where the corresponding abnormality degree held in the branch abnormality degree is a predetermined value or more,
    The secure star coupler according to claim 1, wherein:
  3.  前記セキュアスターカプラは、さらに各ブランチのデジタル信号をデコードし、フレームにプロトコル上のエラー発生の有無を検知するエラー検知部を、ブランチごとに備え、
     前記異常度は、加えて、前記ルーティングルール保持部に記載されている、ルールが有効なタイムスロットにおいて、第1のエラー検知部がエラーを検知した場合に、第1のエラー検知部に対応するブランチの異常度を増加させる、
     ことを特徴とする、請求項2記載のセキュアスターカプラ。     The secure star coupler further decodes the digital signal of each branch, and includes an error detection unit for detecting whether or not an error has occurred in a frame in a frame, for each branch,
    In addition, the abnormality level corresponds to the first error detection unit when the first error detection unit detects an error in a time slot in which the rule is valid, which is described in the routing rule holding unit. Increase the anomaly of the branch,
    The secure star coupler according to claim 2, wherein:
  4.  前記セキュアスターカプラは、さらに電子制御装置と通信を行うための通信制御部を備え、
     前記ルーティング部は、さらに前記第1のトランシーバ部から受信したデジタル信号を、デコードし、フレームとして解釈するデコーダ部と、前記フレームと、転送元である前記第1のトランシーバ部を示す識別子と、を併せて保持する受信フレーム保持部と、を備え、
     前記通信制御部は、前記受信フレーム保持部の情報を、電子制御装置へ通知する、
     ことを特徴とする、請求項1~3のいずれか1項記載のセキュアスターカプラ。     The secure star coupler further includes a communication control unit for performing communication with the electronic control device,
    The routing unit further decodes a digital signal received from the first transceiver unit, and decodes the digital signal as a frame, the frame, and an identifier indicating the first transceiver unit that is a transfer source. A reception frame holding unit that holds the information together,
    The communication control unit, the information of the received frame holding unit, notifies an electronic control unit,
    The secure star coupler according to any one of claims 1 to 3, characterized in that:
  5.  前記セキュアスターカプラは、さらに、ブラックリストを保持するブラックリスト保持部を備え、
     前記ブラックリスト保持部は、転送を禁止する、所定のタイムスロットにおけるフレームに含まれるペイロードの値の条件を保持し、
     前記ルーティング部は、さらに転送中のデジタル信号をデコードし、前記ブラックリスト保持部に含まれる、対応するルールとの照合を行うブラックリスト照合部を備え、
     前記ブラックリスト照合部は、転送中のデジタル信号が、前記ブラックリストに合致していると判断した場合に、以降のデジタル信号の転送を停止する、
     ことを特徴とする、請求項4記載のセキュアスターカプラ。     The secure star coupler further includes a blacklist holding unit that holds a blacklist,
    The blacklist holding unit holds a condition of a value of a payload included in a frame in a predetermined time slot, prohibiting transfer,
    The routing unit further includes a blacklist matching unit that decodes the digital signal being transferred and is included in the blacklist holding unit, and performs matching with a corresponding rule.
    The blacklist matching unit, when determining that the digital signal being transferred matches the blacklist, stops the transfer of subsequent digital signals.
    The secure star coupler according to claim 4, wherein:
  6.  前記セキュアスターカプラは、さらに、走行状態保持部を備え、
     前記通信制御部は、さらに、電子制御装置から、走行状態を受信し、前記走行状態保持部の値を更新する、走行状態受信部を備え、
     前記ブラックリスト照合部は、走行状態保持部の走行状態が、所定の条件を満たしている時のみ、前記ブラックリストに合致した転送中の信号の以降の転送を停止する、
     ことを特徴とする請求項5記載のセキュアスターカプラ。     The secure star coupler further includes a traveling state holding unit,
    The communication control unit further includes a traveling state receiving unit that receives a traveling state from the electronic control device and updates a value of the traveling state holding unit,
    The blacklist collating unit, only when the traveling state of the traveling state holding unit satisfies a predetermined condition, stops the subsequent transmission of the signal being transmitted that matches the blacklist,
    The secure star coupler according to claim 5, wherein:
  7.  タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正防止方法であって、前記車載ネットワークには、1以上の電子制御装置と1つの車載ネットワークバスから構成される複数のブランチが、セキュアスターカプラを通じて接続され、前記電子制御装置は所定のタイムスロット内でフレームを送受信し、
     前記不正防止方法は、ブランチ数に対応する複数の送受信ステップと、ルーティングステップと、ルーティングルール保持ステップと、から構成され、
     前記送受信ステップは、いずれかのブランチのバスの物理信号をデジタル信号へ変換し、前記ルーティングステップへ通知する受信ステップと、前記ルーティングステップから受信したデジタル信号を物理信号へ変換し、前記バスへ送信する、送信ステップと、を備え、
     前記ルーティングステップは、非転送条件に合致する場合を除き、第1のブランチの物理信号を扱う第1の送受信ステップから受信したデジタル信号を、前記第1の送受信ステップ以外の複数の送受信ステップへ転送し、
     前記非転送条件は、前記ルーティングルール保持ステップで記載された所定の条件に合致しない場合と、既に第1のブランチの物理信号を扱う第1の送受信ステップ以外の第2の送受信ステップからデジタル信号を受信し、前記第2の送受信ステップ以外の送受信ステップへデジタル信号を転送している場合であり、
     前記ルーティングルール保持ステップは、タイムスロットと受信すべきブランチまたは送受信ステップの識別子の対応を示したルールを保持する、
     ことを特徴とする不正防止方法。     A method for preventing fraud in an in-vehicle network that is a time-triggered communication system based on a time slot, wherein the in-vehicle network includes a plurality of branches each including one or more electronic control units and one in-vehicle network bus. Connected through a star coupler, the electronic control unit transmits and receives frames within a predetermined time slot,
    The fraud prevention method includes a plurality of transmission / reception steps corresponding to the number of branches, a routing step, and a routing rule holding step,
    The transmitting / receiving step converts a physical signal of a bus of any branch into a digital signal and notifies the routing step of the physical signal, and converts the digital signal received from the routing step into a physical signal and transmits the physical signal to the bus. And a transmitting step.
    The routing step transfers the digital signal received from the first transmission / reception step that handles the physical signal of the first branch to a plurality of transmission / reception steps other than the first transmission / reception step, unless a non-transfer condition is met. And
    The non-transfer condition includes a case where the predetermined condition described in the routing rule holding step is not met, and a case where the digital signal is transmitted from the second transmission / reception step other than the first transmission / reception step which already handles the physical signal of the first branch. Receiving and transferring a digital signal to a transmitting / receiving step other than the second transmitting / receiving step,
    The routing rule holding step holds a rule indicating a correspondence between a time slot and a branch to be received or an identifier of a transmission / reception step,
    A fraud prevention method characterized in that:
PCT/JP2018/028294 2018-07-27 2018-07-27 Fraud prevention method and secure star coupler WO2020021714A1 (en)

Priority Applications (6)

Application Number Priority Date Filing Date Title
PCT/JP2018/028294 WO2020021714A1 (en) 2018-07-27 2018-07-27 Fraud prevention method and secure star coupler
CN201980006599.0A CN111788800B (en) 2018-07-27 2019-07-25 Frame transmission method and secure star coupler
EP19841931.9A EP3832956B1 (en) 2018-07-27 2019-07-25 Frame transfer method and secure star coupler
JP2020532476A JP7337063B2 (en) 2018-07-27 2019-07-25 Frame transfer method and secure star coupler
PCT/JP2019/029252 WO2020022445A1 (en) 2018-07-27 2019-07-25 Frame transfer method and secure star coupler
US17/089,277 US11764998B2 (en) 2018-07-27 2020-11-04 Frame transfer method and secure star coupler

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/028294 WO2020021714A1 (en) 2018-07-27 2018-07-27 Fraud prevention method and secure star coupler

Publications (1)

Publication Number Publication Date
WO2020021714A1 true WO2020021714A1 (en) 2020-01-30

Family

ID=69180787

Family Applications (2)

Application Number Title Priority Date Filing Date
PCT/JP2018/028294 WO2020021714A1 (en) 2018-07-27 2018-07-27 Fraud prevention method and secure star coupler
PCT/JP2019/029252 WO2020022445A1 (en) 2018-07-27 2019-07-25 Frame transfer method and secure star coupler

Family Applications After (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/029252 WO2020022445A1 (en) 2018-07-27 2019-07-25 Frame transfer method and secure star coupler

Country Status (5)

Country Link
US (1) US11764998B2 (en)
EP (1) EP3832956B1 (en)
JP (1) JP7337063B2 (en)
CN (1) CN111788800B (en)
WO (2) WO2020021714A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010503305A (en) * 2006-09-06 2010-01-28 エヌエックスピー ビー ヴィ Intelligent star coupler for time trigger communication and method for communication between nodes in a network using a time trigger protocol
JP2010035171A (en) * 2008-07-25 2010-02-12 Tttech Computertechnik Ag Multi-router for time-controlled communication system
JP2010521858A (en) * 2007-03-14 2010-06-24 エヌエックスピー ビー ヴィ Node of distributed communication system, node coupled to distributed communication system, and monitoring apparatus
WO2013171829A1 (en) * 2012-05-14 2013-11-21 トヨタ自動車 株式会社 Vehicle-specific network communication management device and communication management method
JP2017111796A (en) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Security processing method and server
WO2018008452A1 (en) * 2016-07-05 2018-01-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Method for inhibiting unauthorized control, device for inhibiting unauthorized control, and vehicle-mounted network system

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5222637Y2 (en) 1971-12-10 1977-05-24
JPS5664799U (en) 1979-10-23 1981-05-30
US5210632A (en) * 1989-05-26 1993-05-11 Hitachi, Ltd. Signal transmission system having a star coupled repeater
WO2008029318A2 (en) * 2006-09-06 2008-03-13 Nxp B.V. Cluster coupler in a time triggered network
US8407339B2 (en) * 2007-11-14 2013-03-26 Nxp B.V. Star network and method for preventing a repeated transmission of a control symbol in such a star network
DE102009030204A1 (en) * 2009-06-24 2010-12-30 Audi Ag Star coupler for a bus system, bus system with such a star coupler and method for exchanging signals in a bus system
JP5664799B2 (en) 2011-12-22 2015-02-04 トヨタ自動車株式会社 Communication system and communication method
WO2015123712A1 (en) * 2014-02-24 2015-08-27 Fts Computertechnik Gmbh Method and computer network for transmitting messages
EP3139547B1 (en) * 2015-09-07 2018-10-17 TTTech Computertechnik AG An online incremental scheduling method for deterministic networks
US20170072876A1 (en) * 2015-09-14 2017-03-16 Broadcom Corporation Hardware-Accelerated Protocol Conversion in an Automotive Gateway Controller
WO2017061079A1 (en) * 2015-10-09 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Security device, attack detection method, and program
JP6173541B2 (en) * 2015-10-09 2017-08-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Security device, attack detection method and program
WO2017104096A1 (en) * 2015-12-14 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Security device, network system and attack detection method
JP6684690B2 (en) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Fraud detection method, monitoring electronic control unit and in-vehicle network system
WO2017203904A1 (en) * 2016-05-27 2017-11-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Electronic control unit, frame generation method, and program
JP6492234B2 (en) * 2016-12-06 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Information processing apparatus and information processing method
US20180300477A1 (en) * 2017-04-13 2018-10-18 Argus Cyber Security Ltd. In-vehicle cyber protection
CN106982397B (en) * 2017-05-16 2020-06-16 华北电力大学(保定) Substation communication network based on return detection and time synchronization safety method thereof
CN107342833B (en) * 2017-06-15 2019-03-15 西安微电子技术研究所 A kind of time trigger Ethernet exchanging control method
JP7033499B2 (en) * 2017-07-26 2022-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Anomaly detection device and anomaly detection method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010503305A (en) * 2006-09-06 2010-01-28 エヌエックスピー ビー ヴィ Intelligent star coupler for time trigger communication and method for communication between nodes in a network using a time trigger protocol
JP2010521858A (en) * 2007-03-14 2010-06-24 エヌエックスピー ビー ヴィ Node of distributed communication system, node coupled to distributed communication system, and monitoring apparatus
JP2010035171A (en) * 2008-07-25 2010-02-12 Tttech Computertechnik Ag Multi-router for time-controlled communication system
WO2013171829A1 (en) * 2012-05-14 2013-11-21 トヨタ自動車 株式会社 Vehicle-specific network communication management device and communication management method
JP2017111796A (en) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Security processing method and server
WO2018008452A1 (en) * 2016-07-05 2018-01-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Method for inhibiting unauthorized control, device for inhibiting unauthorized control, and vehicle-mounted network system

Also Published As

Publication number Publication date
CN111788800B (en) 2022-05-10
EP3832956A1 (en) 2021-06-09
JPWO2020022445A1 (en) 2021-08-05
EP3832956A4 (en) 2021-10-13
JP7337063B2 (en) 2023-09-01
EP3832956B1 (en) 2022-04-06
US11764998B2 (en) 2023-09-19
CN111788800A (en) 2020-10-16
WO2020022445A1 (en) 2020-01-30
US20210051090A1 (en) 2021-02-18

Similar Documents

Publication Publication Date Title
US11539727B2 (en) Abnormality detection apparatus and abnormality detection method
US20190141070A1 (en) Anomaly detection electronic control unit, onboard network system, and anomaly detection method
EP3358788B1 (en) Illegality detection electronic control unit, vehicle onboard network system, and communication method
EP3142288A1 (en) In-car network system, electronic control unit and update processing method
JP7231559B2 (en) Anomaly detection electronic control unit, in-vehicle network system and anomaly detection method
US10958470B2 (en) Attributing bus-off attacks based on error frames
US11909748B2 (en) Anti-fraud control system, monitoring device, and anti-fraud control method
US20200412756A1 (en) Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium
KR101972457B1 (en) Method and System for detecting hacking attack based on the CAN protocol
CN110546921A (en) Fraud detection method, fraud detection apparatus, and program
WO2019021922A1 (en) Abnormality detection device, and abnormality detection method
JP2019146145A (en) Communication device, communication method, and program
WO2020021714A1 (en) Fraud prevention method and secure star coupler
WO2020021715A1 (en) Fraud countermeasure method, fraud countermeasure device and communication system
WO2020021713A1 (en) Fraud detection method and electronic control device for detecting frauds
WO2018020833A1 (en) Frame transmission blocking device, frame transmission blocking method and vehicle-mounted network system
US12003521B2 (en) Anomaly detection method and anomaly detection device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18927414

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18927414

Country of ref document: EP

Kind code of ref document: A1